【安全圈】ExCobalt 网络犯罪团伙利用新的 GoRed 后门攻击俄罗斯目标

关键词

一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门（名为 GoRed）攻击了俄罗斯目标。

Positive Technologies 研究人员 Vladislav Lunin 和 Alexander Badayev在本周发布的技术报告中表示：“ExCobalt 专注于网络间谍活动，其几名成员至少自 2016 年以来就一直活跃，大概曾经是臭名昭著的Cobalt Gang的成员。”

“Cobalt攻击金融机构以窃取资金。Cobalt 的标志之一是使用CobInt 工具，这是 ExCobalt 在 2022 年开始使用的工具。”

过去一年来，该黑客组织发起的攻击针对俄罗斯的各个行业，包括政府、信息技术、冶金、采矿、软件开发和电信部门。

初始访问环境是通过利用先前受到攻击的承包商和供应链攻击来实现的，其中攻击者感染了用于构建目标公司合法软件的组件，这表明其高度复杂。

攻击链

该作案手法需要使用各种工具（如 Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT）在受感染的主机上执行命令，以及 Linux 权限提升漏洞（CVE-2019-13272、CVE-2021-3156、CVE-2021-4034和CVE-2022-2586）。

GoRed 自诞生以来经历了多次迭代，是一个全面的后门，允许操作员执行命令、获取凭据并收集活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。

此外，它还支持多种后台命令，用于监视感兴趣的文件和密码以及启用反向 shell。然后，收集的数据将导出到攻击者控制的基础设施。

研究人员表示：“ExCobalt 在攻击俄罗斯公司方面继续表现出高度的活跃和决心，不断在其武器库中添加新工具并改进其技术。”

“此外，ExCobalt 通过用修改后的标准实用程序补充其工具集，展示了灵活性和多功能性，这有助于该组织轻松绕过安全控制并适应保护方法的变化。”