Rus kuruluşları, GoRed olarak bilinen, daha önce bilinmeyen Golang tabanlı bir arka kapıyı kullanan ExCobalt adlı bir siber suç çetesi tarafından hedef alındı.
Positive Technologies araştırmacıları Vladislav Lunin ve Alexander Badayev bu hafta yayınlanan teknik bir raporda, “ExCobalt siber casusluğa odaklanıyor ve en az 2016’dan beri aktif olan ve muhtemelen bir zamanlar kötü şöhretli Kobalt Çetesi’nin parçası olan birkaç üyeyi içeriyor.” dedi.
“Cobalt, fon çalmak için finans kurumlarına saldırdı. Cobalt’ın ayırt edici özelliklerinden biri, ExCobalt’ın 2022’de kullanmaya başladığı CobInt aracının kullanılmasıydı.”
Tehdit aktörünün gerçekleştirdiği saldırılar geçtiğimiz yıl Rusya’da hükümet, bilgi teknolojisi, metalurji, madencilik, yazılım geliştirme ve telekomünikasyon dahil olmak üzere çeşitli sektörleri hedef aldı.
Ortamlara ilk erişim, daha önce güvenliği ihlal edilmiş bir yüklenicinin avantajından ve bir tedarik zinciri saldırısından yararlanılarak kolaylaştırılır; burada saldırgan, hedef şirketin yasal yazılımını oluşturmak için kullanılan bir bileşene bulaştı, bu da yüksek derecede karmaşıklık olduğunu gösteriyor.
İşleyiş tarzı, virüs bulaşmış ana makinelerde komutları yürütmek için Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT gibi çeşitli araçların ve Linux ayrıcalık yükseltme açıklarından yararlanılmasını gerektirir (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 ve CVE-2022-2586).
Başlangıcından bu yana çok sayıda yinelemeden geçen GoRed, operatörlerin komutları yürütmesine, kimlik bilgileri almasına ve aktif süreçlerin, ağ arayüzlerinin ve dosya sistemlerinin ayrıntılarını toplamasına olanak tanıyan kapsamlı bir arka kapıdır. Komuta ve kontrol (C2) sunucusuyla iletişim kurmak için Uzaktan Prosedür Çağrısı (RPC) protokolünü kullanır.
Dahası, ilgilenilen dosyaları ve şifreleri izlemek ve ters kabuğu etkinleştirmek için bir dizi arka plan komutunu destekler. Toplanan veriler daha sonra saldırganın kontrol ettiği altyapıya aktarılıyor.
Araştırmacılar, “ExCobalt, Rus şirketlerine saldırmada yüksek düzeyde etkinlik ve kararlılık sergilemeye devam ediyor, cephaneliğine sürekli yeni araçlar ekliyor ve tekniklerini geliştiriyor” dedi.
“Ayrıca ExCobalt, araç setini, grubun güvenlik kontrollerini kolayca atlamasına ve koruma yöntemlerindeki değişikliklere uyum sağlamasına yardımcı olan değiştirilmiş standart yardımcı programlarla tamamlayarak esneklik ve çok yönlülük sergiliyor.”