Исследователи из Positive Technologies обнаружили новый бэкдор | SecAtor

Исследователи из Positive Technologies обнаружили новый бэкдор GoRed, созданный на языке Go и задействуемый группировкой ExCobalt в атаках.

В марте 2024 года Позитивы в рамках расследования инцидента обнаружили подозрительный файл под названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента.

В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/, что указывало на то, что семпл является проприетарным инструментом GoRed.

По результатам анализа стало понятно, что различные версии GoRed ранее уже встречались в расследованиях инцидентов у других клиентов и, по всей видимости, связан с группировкой ExCobalt.

ExCobalt активна с 2016 года и известна атаками на российские компании в сфере металлургии, телекома, горной промышленности, ИТ и госсектора, преследуя цели кибершпионажа и кражи данных.

Судя по всему, она также связана с APT, которую Солары отслеживает как Shedding Zmiy.

Бэкдор обладает множеством функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов взаимодействия с C2 (в том числе RPC-протокола), а также DNS-/ICMP-туннелирования, WSS и Quic для коммуникации с оператором.

В целом, исследование указывает на продолжение реализации группой ExCobalt активных атак на российские компании, постоянно совершенствуя при этом свои инструменты и оттачивая TTPs.

При этом бэкдор GoRed может применяться и для более сложных и скрытных воздействий.

Злоумышленники демонстрируют высокую степень профессионализма и адаптивности, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний и делает их атаки особенно опасными.