11,6 тыс подписчиков

GoRed бэкдор: эксплойты PostgreSQL и эволюция кибершпионажа

14 ноября 202514 ноя 2025

4 мин

Весной 2025 года кампания GoRed backdoor, впервые зафиксированная в 2024 году, продемонстрировала новую тактику и расширенные возможности, ориентированные на кибершпионаж против российских организаций. Вредоносный модуль, также известный как Bulldog Backdoor, остаётся активно развивающимся инструментом, написанным на Golang, и последняя идентифицированная версия — v1.1.5-34ab — включает в себя функциональность, представляющую значительные риски для целей атаки. «Бэкдор GoRed, также известный как Bulldog Backdoor, представляет собой сложный инструмент, написанный на Golang и постоянно развивающийся с момента своего появления.» Аналитики отметили существенное отклонение в тактике злоумышленников: вместо привычных путей инфильтрации операторы использовали ошибки конфигурации в PostgreSQL на скомпрометированном общедоступном веб‑портале, применив этот вектор для удалённого выполнения команд (RCE). Перед внедрением вредоносного ПО операторы проводили первоначальную разведку, получая список

Оглавление

Новые векторы и приём — отклонение от прежней тактики
Возможности и поведение бэкдора
Эксплойты и сопутствующие инструменты

Весной 2025 года кампания GoRed backdoor, впервые зафиксированная в 2024 году, продемонстрировала новую тактику и расширенные возможности, ориентированные на кибершпионаж против российских организаций. Вредоносный модуль, также известный как Bulldog Backdoor, остаётся активно развивающимся инструментом, написанным на Golang, и последняя идентифицированная версия — v1.1.5-34ab — включает в себя функциональность, представляющую значительные риски для целей атаки.

«Бэкдор GoRed, также известный как Bulldog Backdoor, представляет собой сложный инструмент, написанный на Golang и постоянно развивающийся с момента своего появления.»

Новые векторы и приём — отклонение от прежней тактики

Аналитики отметили существенное отклонение в тактике злоумышленников: вместо привычных путей инфильтрации операторы использовали ошибки конфигурации в PostgreSQL на скомпрометированном общедоступном веб‑портале, применив этот вектор для удалённого выполнения команд (RCE). Перед внедрением вредоносного ПО операторы проводили первоначальную разведку, получая список запущенных процессов на заражённом хосте, что указывает на целенаправленную подготовку атаки.

Возможности и поведение бэкдора

Функциональные возможности GoRed включают:

удалённое выполнение команд;
управление файловой системой;
эксфильтрация данных.

Такие возможности позиционируют GoRed как эффективный инструмент шпионажа, способный длительно поддерживать присутствие в инфраструктуре жертвы.

Эксплойты и сопутствующие инструменты

В ходе кампании операторы демонстрировали разнообразные приёмы и набор инструментов:

попытки получить системные учётные данные путём сброса копий реестра (hives) и SAM без обфускации, а также снятие памяти процесса LSASS;
развёртывание Cobalt Strike как части инструментария, что говорит о применении коммерческих/известных фреймворков для пост‑эксплуатации;
альтернативный подход — использование троянских системных утилит для загрузки агента Tuoni, появившегося как продвинутая платформа управления (C2) примерно в феврале 2024 года.

Локальное повышение привилегий и «просачивание обоев»

Отдельно зафиксирован метод, описанный как «просачивание обоев» — приём, вдохновлённый техникой локального повышения привилегий Fake Potato. Механика опирается на небезопасную конфигурацию COM/DCOM, что позволяет злоумышленникам повышать привилегии в уязвимых системах и расширять контроль над инфраструктурой.

Атрибуция и возможное сотрудничество

Атрибуция кампании связывается с такими группировками, как ExCobalt и Shedding Zmiy, которых аналитики объединяют под ярлыком Red Likho. Кроме того, в активности GoRed выявлены признаки пересечения с деятельностью BO Team — факты указывают на общую базу жертв между Red Likho и BO Team, что может отражать обмен инструментарием или скоординированные действия.

Учитывая историю взаимодействия BO Team с другими хактивистскими группами, нацеленными на российские интересы, есть высокая вероятность того, что Red Likho либо использует инструменты BO Team, либо действует в тандеме в рамках этой кампании.

Риски для организаций и краткие рекомендации

Ключевые риски от текущей волны активности GoRed:

длительное скрытное присутствие и утечка конфиденциальных данных;
компрометация учётных данных домена и локальных администраторов;
расширение прав злоумышленников за счёт LPE‑уязвимостей и небезопасных конфигураций сервисов.

Рекомендуемые базовые меры защиты (ориентировочно):

произвести аудит публичных веб‑порталов и конфигураций PostgreSQL на предмет небезопасных настроек;
внедрить мониторинг попыток чтения/дампа LSASS, реестра и SAM; контролировать аномальную активность процессов;
обезопасить и ограничить права использования COM/DCOM и других механизмов межпроцессного взаимодействия;
обновить EDR/AV‑сигнатуры для выявления Cobalt Strike и малвари семейства GoRed, а также следить за появлением агентов Tuoni;
провести ротацию и усиление учётных данных, минимизировать права локальных администраторов.

Вывод

Весенняя кампания 2025 года демонстрирует, что GoRed эволюционирует не только в техническом плане, но и в методах проникновения: злоумышленники активно комбинируют эксплуатацию уязвимых конфигураций, стандартные инструменты пост‑эксплуатации и потенциально совместное использование чужого инструментари я. Для российских организаций это означает необходимость повышенной бдительности, периодических аудитов конфигураций и оперативного обмена информацией о инцидентах между CERT‑сообществом и крупными участниками рынка безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GoRed бэкдор: эксплойты PostgreSQL и эволюция кибершпионажа".

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника

5,73 млн интересуются