Organizações russas foram alvos de um grupo de cibercrime denominado ExCobalt, utilizando uma backdoor até então desconhecida baseada em Golang, chamada GoRed.
"ExCobalt foca em espionagem cibernética e inclui diversos membros ativos desde pelo menos 2016, supostamente parte do notório Cobalt Gang," afirmam os pesquisadores da Positive Technologies, Vladislav Lunin e Alexander Badayev, em um relatório técnico publicado esta semana.
O Cobalt atacava instituições financeiras para roubar fundos. Uma das marcas registradas do Cobalt era o uso da ferramenta CobInt, algo que o ExCobalt começou a usar em 2022.
Os ataques realizados pelo agente de ameaça visaram diversos setores na Rússia ao longo do último ano, incluindo governo, tecnologia da informação, metalurgia, mineração, desenvolvimento de software e telecomunicações.
O acesso inicial aos ambientes é facilitado pela exploração de um contratado previamente comprometido e um ataque à cadeia de suprimentos, onde o adversário infectou um componente usado para construir o software legítimo da empresa alvo, sugerindo um alto grau de sofisticação.
O modus operandi envolve o uso de várias ferramentas como Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT para executar comandos nos hosts infectados, e exploits de escalada de privilégios no Linux (
CVE-2019-13272
,
CVE-2021-3156
,
CVE-2021-4034
e
CVE-2022-2586
).
GoRed, que passou por numerosas iterações desde sua concepção, é uma backdoor abrangente que permite aos operadores executar comandos, obter credenciais e colher detalhes de processos ativos, interfaces de rede e sistemas de arquivos.
Ela utiliza o protocolo Remote Procedure Call (RPC) para se comunicar com seu servidor de comando e controle (C2).
Além disso, suporta uma série de comandos em segundo plano para monitorar arquivos de interesse e senhas, bem como habilitar reverse shell.
Os dados coletados são então exportados para a infraestrutura controlada pelo atacante.
"ExCobalt continua a demonstrar um alto nível de atividade e determinação ao atacar empresas russas, adicionando constantemente novas ferramentas ao seu arsenal e aprimorando suas técnicas," disseram os pesquisadores.
Além disso, ExCobalt demonstra flexibilidade e versatilidade ao complementar seu conjunto de ferramentas com utilitários padrão modificados, o que ajuda o grupo a contornar facilmente controles de segurança e se adaptar a mudanças nos métodos de proteção.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...