Porte dérobée GoRed

Les organisations russes ont été attaquées par un groupe de cybercriminalité connu sous le nom d'ExCobalt, qui utilise une porte dérobée basée sur Golang récemment découverte et appelée GoRed.

ExCobalt est spécialisé dans le cyberespionnage et comprend plusieurs membres actifs depuis au moins 2016, probablement issus du tristement célèbre Cobalt Gang. Le Cobalt Gang était connu pour cibler les institutions financières afin de récupérer de l'argent, et l'un de leurs outils phares était CobInt. ExCobalt a adopté l'utilisation de CobInt en 2022.

De nombreux outils dommageables exploités lors d’attaques contre des cibles

Au cours de l'année écoulée, l'auteur de la menace a ciblé divers secteurs en Russie, notamment le gouvernement, les technologies de l'information, la métallurgie, l'exploitation minière, le développement de logiciels et les télécommunications.

Les attaquants obtiennent un premier accès aux environnements en exploitant un sous-traitant précédemment compromis et en menant une attaque sur la chaîne d'approvisionnement, au cours de laquelle ils infectent un composant utilisé pour créer le logiciel légitime de l'entreprise cible, ce qui indique un niveau élevé de sophistication.

Leur mode opératoire implique l'utilisation de plusieurs outils, tels que Metasploit, Mimikatz , ProcDump, SMBExec et Spark RAT pour exécuter des commandes sur des hôtes infectés, ainsi que des exploits d'élévation de privilèges Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 et CVE-2022-2586).

La porte dérobée GoRed fournit de nombreuses actions intrusives aux acteurs menaçants

GoRed, qui a évolué à travers de nombreuses itérations depuis sa création, est une porte dérobée polyvalente qui permet aux opérateurs d'exécuter des commandes, d'obtenir des informations d'identification et de recueillir des détails sur les processus actifs, les interfaces réseau et les systèmes de fichiers. Il utilise le protocole RPC (Remote Procedure Call) pour communiquer avec son serveur de commande et de contrôle (C2).

De plus, GoRed prend en charge diverses commandes en arrière-plan pour surveiller les fichiers d'intérêt et les mots de passe, ainsi que pour activer un shell inversé. Les données collectées sont ensuite exportées vers une infrastructure contrôlée par les attaquants.

ExCobalt continue de faire preuve d'un haut niveau d'activité et de détermination dans le ciblage des entreprises russes, ajoutant continuellement de nouveaux outils à son arsenal et affinant ses techniques. De plus, ExCobalt fait preuve de flexibilité et d'adaptabilité en incorporant des utilitaires standards modifiés dans son ensemble d'outils, permettant au groupe de contourner facilement les contrôles de sécurité et de s'adapter aux changements dans les méthodes de protection.

Les infections par des logiciels malveillants par porte dérobée pourraient entraîner de graves conséquences

Une infection par un malware de porte dérobée peut avoir de graves conséquences pour ses victimes, entraînant :

• Accès non autorisé : les portes dérobées permettent aux attaquants d'obtenir un accès non autorisé au système ou au réseau infecté. Cela peut aboutir au vol d'informations personnelles pouvant inclure des données personnelles, des dossiers financiers, de la propriété intellectuelle ou des informations gouvernementales classifiées.
• Vol de données et espionnage : les attaquants peuvent exfiltrer les données du système compromis, entraînant ainsi des violations potentielles de données. Ces informations collectées peuvent être vendues sur le Dark Web, utilisées à des fins d'usurpation d'identité ou exploitées pour obtenir un avantage concurrentiel par des organisations rivales.
• Surveillance persistante : les portes dérobées permettent souvent une surveillance persistante en permettant aux attaquants de surveiller l'activité des utilisateurs, de capturer les frappes au clavier, d'enregistrer les mots de passe et d'observer le trafic réseau. Cette surveillance peut compromettre la confidentialité et la vie privée des individus et des organisations.
• Manipulation du système : les attaquants peuvent manipuler le système compromis à des fins nuisibles, telles que lancer d'autres attaques (par exemple, distribuer du spam ou lancer des attaques DDoS), modifier ou supprimer des données ou perturber des services critiques.
• Dommages à la réputation et à la confiance : une violation causée par un malware de porte dérobée peut nuire à la réputation d'une organisation et éroder la confiance des clients. Les organisations peuvent être confrontées à des répercussions juridiques et réglementaires, surtout si elles ne protègent pas correctement les données sensibles.
• Pertes financières : les efforts de remédiation, y compris les enquêtes médico-légales, les réparations du système et les éventuels frais juridiques, peuvent entraîner des pertes financières importantes pour les organisations concernées. De plus, les temps d’arrêt et les pertes de productivité peuvent avoir un impact sur les revenus et l’efficacité opérationnelle.
• Perturbation opérationnelle : un malware de porte dérobée peut provoquer des perturbations opérationnelles importantes, allant des pannes de service à la compromission de l'intégrité du réseau. Cela peut affecter les opérations quotidiennes et potentiellement entraîner une perte d’opportunités commerciales.
• Compromis à long terme : si elles ne sont pas détectées ou si elles ne sont pas correctement corrigées, les portes dérobées peuvent compromettre de manière persistante les systèmes, permettant aux attaquants d'accéder et de contrôler en permanence. Ce compromis à long terme peut étendre l’impact et aggraver la gravité des conséquences au fil du temps.

En résumé, une infection par un malware de porte dérobée présente de sérieux risques pour les victimes, notamment des répercussions financières, opérationnelles, de réputation et juridiques. Des mesures préventives telles que des pratiques de cybersécurité robustes, des audits réguliers et la formation des employés sont essentielles pour atténuer ces risques et se protéger contre ces menaces.