Organisasi-organisasi Rusia telah menjadi sasaran geng kejahatan dunia maya bernama ExCobalt menggunakan pintu belakang berbasis Golang yang sebelumnya tidak dikenal yang dikenal sebagai GoRed.
“ExCobalt berfokus pada spionase dunia maya dan mencakup beberapa anggota yang aktif setidaknya sejak tahun 2016 dan mungkin pernah menjadi bagian dari Cobalt Gang yang terkenal kejam,” kata peneliti Positive Technologies Vladislav Lunin dan Alexander Badayev dalam laporan teknis yang diterbitkan minggu ini.
"Cobalt menyerang lembaga keuangan untuk mencuri dana. Salah satu keunggulan Cobalt adalah penggunaan alat CobInt , sesuatu yang mulai digunakan ExCobalt pada tahun 2022."
Serangan yang dilakukan oleh pelaku ancaman ini menargetkan berbagai sektor di Rusia selama setahun terakhir, termasuk pemerintahan, teknologi informasi, metalurgi, pertambangan, pengembangan perangkat lunak, dan telekomunikasi.
Akses awal ke lingkungan difasilitasi dengan mengambil keuntungan dari kontraktor yang sebelumnya telah disusupi dan serangan rantai pasokan, dimana musuh menginfeksi komponen yang digunakan untuk membangun perangkat lunak resmi perusahaan target, sehingga menunjukkan tingkat kecanggihan yang tinggi.
Modus operandinya memerlukan penggunaan berbagai alat seperti Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT untuk menjalankan perintah pada host yang terinfeksi, dan eksploitasi eskalasi hak istimewa Linux ( CVE-2019-13272 , CVE-2021-3156 , CVE-2021- 4034 , dan CVE-2022-2586 ).
GoRed, yang telah mengalami banyak iterasi sejak awal, adalah pintu belakang komprehensif yang memungkinkan operator menjalankan perintah, mendapatkan kredensial, dan mengambil detail proses aktif, antarmuka jaringan, dan sistem file. Ia menggunakan protokol Panggilan Prosedur Jarak Jauh (RPC) untuk berkomunikasi dengan server perintah dan kontrol (C2).
Terlebih lagi, ia mendukung sejumlah perintah latar belakang untuk mengawasi file yang diinginkan dan kata sandi serta mengaktifkan shell terbalik. Data yang dikumpulkan kemudian diekspor ke infrastruktur yang dikendalikan penyerang.
“ExCobalt terus menunjukkan aktivitas dan tekad tingkat tinggi dalam menyerang perusahaan-perusahaan Rusia, terus-menerus menambahkan alat-alat baru ke dalam persenjataannya dan meningkatkan tekniknya,” kata para peneliti.
“Selain itu, ExCobalt menunjukkan fleksibilitas dan keserbagunaan dengan melengkapi perangkatnya dengan utilitas standar yang dimodifikasi, yang membantu grup tersebut dengan mudah melewati kontrol keamanan dan beradaptasi dengan perubahan dalam metode perlindungan.”
0 Comments