ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标

admin 2024年6月24日11:00:34评论10 views字数 1096阅读3分39秒阅读模式

导 

一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门(名为 GoRed)攻击了俄罗斯目标。

Positive Technologies 研究人员 Vladislav Lunin 和 Alexander Badayev在本周发布的技术报告中表示:“ExCobalt 专注于网络间谍活动,其几名成员至少自 2016 年以来就一直活跃,大概曾经是臭名昭著的Cobalt Gang的成员。”

“Cobalt攻击金融机构以窃取资金。Cobalt 的标志之一是使用CobInt 工具,这是 ExCobalt 在 2022 年开始使用的工具。”

过去一年来,该黑客组织发起的攻击针对俄罗斯的各个行业,包括政府、信息技术、冶金、采矿、软件开发和电信部门。

初始访问环境是通过利用先前受到攻击的承包商和供应链攻击来实现的,其中攻击者感染了用于构建目标公司合法软件的组件,这表明其高度复杂。

ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标

攻击链

该作案手法需要使用各种工具(如 Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT)在受感染的主机上执行命令,以及 Linux 权限提升漏洞(CVE-2019-13272、CVE-2021-3156、CVE-2021-4034和CVE-2022-2586)。

GoRed 自诞生以来经历了多次迭代,是一个全面的后门,允许操作员执行命令、获取凭据并收集活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。

此外,它还支持多种后台命令,用于监视感兴趣的文件和密码以及启用反向 shell。然后,收集的数据将导出到攻击者控制的基础设施。

研究人员表示:“ExCobalt 在攻击俄罗斯公司方面继续表现出高度的活跃和决心,不断在其武器库中添加新工具并改进其技术。”

“此外,ExCobalt 通过用修改后的标准实用程序补充其工具集,展示了灵活性和多功能性,这有助于该组织轻松绕过安全控制并适应保护方法的变化。”

技术报告全文:https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/excobalt-gored-the-hidden-tunnel-technique/

参考链接:https://thehackernews.com/2024/06/excobalt-cyber-gang-targets-russian.html

ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(会杀毒的单反狗):ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月24日11:00:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标http://cn-sec.com/archives/2877774.html

发表评论

匿名网友 填写信息