Positive Technologies обнаружила новый бэкдор ExCobalt

Группа специалистов из центра экспертизы в области безопасности Positive Technologies (PT ESC) обнаружила новый, прежде не выявленный, бэкдор, созданный на языке Go.

Этот инструмент применяется хакерской группой ExCobalt, которая активно атакует российские организации.

Обнаружение и анализ

Весной, в рамках изучения происшествия, эксперты PT ESC раскрыли пакет обозначаемый как "scrond", упакованный посредством UPX (Ultimate Packer for eXecutables), в сервере с операционной системой Линукс, принадлежащем заказчику.

После распаковки семпла, разработанного на языке программирования Go, эксперты нашли пути пакетов, имеющие подстроку "red.team/go-red/". Тем самым дало основания предполагать, что обнаруженный файл представляет собой часть проприетарного инструмента GoRed.

В ходе последующего изучения стало известно, что некоторые итерации этой программы ныне встречались прежде в процессе реагирования на кибератаки.

Взаимосвязь с ExCobalt

По данным Дениса Кувшинова, руководителя отдела исследования киберугроз в Positive Technologies (PT ESC), более тщательное обследование инструмента позволило выявить взаимосвязь с кибергруппировкой ExCobalt, о которой уже упоминалась в PT ESC в минувшем году. Киберпреступная группа знакома своими атаками на отечественные предприятия в различных отраслях, включая металлургию, телекоммуникации, горную промышленность, IT и государственный сектор. Группировка также занимается кибершпионажем и кражей конфиденциальных данных.

Функциональность GoRed

Новый вредоносный модуль, известный как GoRed, получил свое название от первоначального образца, который был обнаружен экспертами.

Оснащен широким спектром опций, в том числе возможность удаленного исполнения команд, сбор информации с зараженных систем и использование разного рода способов взаимодействия с серверами управления и контроля (C2).

Эта функциональность позволяет злоумышленникам осуществлять сложные и скрытные атаки, а также кибершпионаж.

Непрерывное улучшение

Диагностика, проведённая Positive Technologies, указывает, что ExCobalt по-прежнему целенаправленно атакует отечественные организации, регулярно совершенствуя собственные способы и инструменты.

В частности, хакеры развивают возможности GoRed ради проведения изощрённых кибератак и обхода систем защиты.

ExCobalt проявляют высокую маневренность, применяя адаптированные средства для обхода систем защиты, что свидетельствует об их глубоком понимании уязвимостей в инфраструктуре компаний.

Требование улучшения мер безопасности

Модернизация ExCobalt и их методов атак указывает на важность непрерывного улучшения методов защиты и выявления киберугроз.

Компании должны быть готовы к адаптации и улучшению своих мер безопасности, чтобы эффективно противостоять таким продвинутым угрозам.

Важно уделять внимание не только техническим аспектам защиты, но и обучению сотрудников, что также является ключевым фактором в предотвращении успешных кибератак.

Полный отчет о данном инциденте и подробный анализ можно найти в блоге команды PT ESC. Эксперты продолжают исследовать активность ExCobalt и работают над разработкой новых методов защиты для противодействия их атакам.

Обеспечьте безопасность своей компании с помощью экспертов в области кибербезопасности!

Наша команда готова предложить вам надежные решения, способные защитить ваш бизнес от угроз.

Звоните нам по номеру +7 (495) 984-33-83 или отправляйте заявку на почту: shop@spectrasoft.ru

Мы заботимся о вашей безопасности!