Goldbackdoor Malware

Par Mezo en Backdoors, Advanced Persistent Threat (APT)

Se traduisent par :

Un groupe APT (Advanced Persistent Threat) soupçonné d'avoir des liens avec le gouvernement nord-coréen cible les journalistes avec une nouvelle menace de porte dérobée sophistiquée appelée le malware Goldbackdoor. Le groupe de hackers particulier est suivi par des organisations de cybersécurité sous plusieurs noms différents - APT37, InkySquid, Reaper, ScarCruft et Ricochet Collima.

L'opération menaçante aurait commencé à un moment donné en mars 2022 dans le but principal de collecter des informations sensibles auprès des cibles. Jusqu'à présent, les chercheurs d'infosec ont identifié que des données ont été extraites de l'ordinateur privé d'un ancien responsable du renseignement sud-coréen. L'opération commence par des tentatives de harponnage, où les pirates se font passer pour l'entité légitime de NK News.

Détails sur le logiciel malveillant Goldbackdoor

L'analyse de la menace effectuée par les chercheurs a révélé que Goldbackdoor est un logiciel malveillant à plusieurs niveaux doté d'un ensemble étendu de capacités menaçantes. En raison des similitudes importantes et des chevauchements au sein du code et de son comportement, les experts affirment que la nouvelle menace est très probablement un successeur du malware Bluelight, l'un des instruments nuisibles utilisés par APT37 dans le passé.

Les pirates ont divisé le fonctionnement de la menace en une première étape d'outillage et une seconde où la charge utile finale est livrée. Cette conception permet aux attaquants d'arrêter l'opération après une infection initiale réussie des appareils ciblés. Cela rend également plus difficile l'analyse rétrospective potentielle de la menace, une fois que les charges utiles ont été retirées de l'infrastructure.

Une fois activé, Goldbackdoor offre aux pirates la possibilité d'exécuter des commandes à distance, d'exfiltrer des données, de collecter des fichiers ou d'en télécharger d'autres sur la machine piratée, d'établir des routines d'enregistrement de frappe, etc. Les pirates peuvent également demander à la menace de se désinstaller à distance du système compromis. Pour recevoir les commandes entrantes des pirates, Goldbackdoor utilise des fournisseurs de services cloud et est équipé d'un ensemble de clés API lui permettant de s'authentifier auprès de la plate-forme de cloud computing Azure de Microsoft.