Российские организации на этой недели подверглись атаке киберпреступной группировки ExCobalt, использующей ранее неизвестный бэкдор на базе Golang, известный как GoRed.
"ExCobalt специализируется на кибершпионаже и включает в себя несколько членов, активных как минимум с 2016 года и предположительно, когда-то входивших в печально известную хакерскую группировку Cobalt", - сообщают исследователи Positive Technologies Владислав Лунин и Александр Бадаев в техническом отчете, опубликованном на этой неделе.
"Cobalt атаковала финансовые учреждения с целью кражи средств. Одной из отличительных черт Cobalt было использование инструмента CobInt, который ExCobalt начал применять в 2022 году".
В течение последнего года атакам со стороны угроз подвергались различные отрасли экономики России, включая государственную, информационные технологии, металлургию, горнодобывающую промышленность, телекоммуникации.
Для выполнения команд на зараженных серверах используются различные инструменты, такие как Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT, а также эксплойты для повышения привилегий в Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021-4034 и CVE-2022-2586).
GoRed представляет собой комплексный бэкдор, позволяющий выполнять команды на зараженных копьютерах, получать учетные данные и собирать информацию об активных процессах, сетевых интерфейсах и файловых системах. Для связи со своим командно-контрольным сервером (C2) он использует протокол Remote Procedure Call (RPC).
Кроме того, он поддерживает ряд фоновых команд для поиска интересующих файлов и паролей, а также включает обратный shell. Собранные данные затем экспортируются в контролируемую злоумышленником инфраструктуру.
