EXCOBALT 网络犯罪集团针对多个领域的俄罗斯组织

Positive Technologies 研究人员报告说，一个名为 ExCobalt 的网络犯罪团伙通过以前未知的基于 Golang 的后门 GoRed 瞄准了多个行业的俄罗斯组织。

研究人员认为，ExCobalt 集团的成员至少自 2016 年以来一直活跃，该组织与臭名昭著的 Cobalt Gang 有关。

在过去的一年里，ExCobalt针对以下行业的俄罗斯组织：

• 冶金

• 电信

• 采矿

• 信息技术

• 政府

• 软件开发

Cobalt 的标志是使用 CobInt 工具，ExCobalt 于 2022 年开始使用该工具。

在调查 2024 年 3 月客户 Linux 主机上的安全事件时，Positive Technologies 研究人员发现了一个名为“scrond”的文件。该文件是用UPX压缩的，在解压后，专家们发现包含的包路径表明它可能是一个名为GoRed的专有工具，与红队有关。

GoRed 后门支持几个值得注意的功能。它允许操作员连接和执行命令，类似于其他命令和控制 （C2） 框架，例如 Cobalt Strike 或 Sliver。GoRed 与其 C2 服务器之间的通信依赖于 RPC 协议。为了实现安全通信，运营商采用 DNS/ICMP 隧道、WSS 和 QUIC 协议。

GoRed 能够从受感染的系统中获取凭据并收集各种类型的系统信息，包括活动进程、主机名、网络接口和文件系统结构。To Backdoor 支持多个命令来对目标网络进行侦察。后门程序序列化、加密、存档收集的数据，并将其发送到存储受损数据的指定服务器。

ExCobalt 通过利用先前被入侵的承包商获得了对目标实体的初步访问权限。ExCobalt 通过感染用于构建目标公司合法软件的组件来进行供应链攻击

ExCobalt 使用 Spark RAT 执行命令和攻击链中的多种工具，包括 Mimikatz、ProcDump、SMBExec、Metasploit 和 rsocx。

该组织利用以下漏洞进行权限升级：CVE-2022-2586、CVE-2021-3156、CVE-2021-4034、CVE-2019-13272、CVE-2022-27228、CVE-2021-44228、CVE-2021-40438、CVE-2023-3519、BDU：2023-05857 和 CVE-2019-12725。

“ExCobalt在攻击俄罗斯公司方面继续表现出高水平的活动和决心，不断为其武器库添加新工具并改进其技术。它不仅在开发新的攻击方法，而且还在积极改进其现有工具，例如GoRed后门。

“ExCobalt 显然瞄准了更复杂、更高效的黑客和网络间谍方法，看看 GoRed 如何获得新的能力和特性。其中包括收集受害者数据的扩展功能，以及在受感染系统内部以及与 C2 服务器通信中增加的保密性。

原文始发于微信公众号（黑猫安全）：EXCOBALT 网络犯罪集团针对多个领域的俄罗斯组织