Positive Technologies
Новости

Positive Technologies выявила новый бэкдор в арсенале активной в России группировки ExCobalt

Команда экспертного центра Positive Technologies (PT ESC) выявила ранее неизвестный бэкдор, написанный на языке Go. Он используется киберпреступной группировкой ExCobalt, атакующей российские организации.

«В марте в ходе расследования инцидента мы обнаружили файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента. В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/. Это позволило нам предположить, что семпл является проприетарным инструментом GoRed. В процессе анализа GoRed мы обнаружили, что несколько версий программы уже встречали ранее во время реагирования ...

Денис Кувшинов
Денис КувшиновРуководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies

Дальнейший анализ инструмента позволил специалистам компании установить его связь с группировкой ExCobalt, об атаках которой в PT ESC рассказывали в ноябре прошлого года.

ExCobalt известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора. Она также занимается кибершпионажем и кражей данных.

Новый бэкдор, названный в PT ESC по имени изначально обнаруженного семпла GoRed, имеет множество функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов коммуникации с C2-серверами.

Исследование Positive Technologies показывает, что группировка ExCobalt продолжает активно атаковать российские компании, постоянно улучшая свои методы и инструменты, включая бэкдор GoRed. Злоумышленники расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа. Участники ExCobalt демонстрируют гибкость, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний. В целом развитие ExCobalt подчеркивает необходимость постоянного совершенствования методов защиты и обнаружения атак для противодействия таким киберугрозам.

Полную версию отчета можно прочитать в блоге команды PT ESC.