Специалисты Positive Technologies выявили ранее неизвестный бэкдор, написанный на Go. Малварь используется хак-группой ExCobalt, которая атакует российские организации.
Как рассказывает Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в марте 2024 года, во время расследования инцидента исследователи обнаружили одном из Linux-узлов клиента файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables).
В данных распакованного семпла, написанного на Go, обнаружились пути пакетов, содержащие подстроку red.team/go-red/. Из-за этого специалисты предположили, что семпл является проприетарным инструментом GoRed от некой Red Team.
Однако упомянутый сайт выглядел как типичная визитка и практически не использовался создателями. Вся информация была датирована 2019 годом, а дизайн сайта выглядел типовым, похожим на многие подобные ресурсы.
В процессе дальнейшего анализа GoRed выяснилось, что несколько версий этой программы уже встречали ранее во время реагирования на инциденты у ряда других клиентов.
Дальнейший анализ позволил установить связь инструмента с группировкой ExCobalt, об атаках которой эксперты рассказывали в ноябре прошлого года. Еще тогда в отчете упоминался домен lib.rpm-bin.link, при энумерации директорий которого было получено множество инструментов, включая col — первую версию GoRed.
Хак-группа ExCobalt существует с 2016 года и известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора, а также занимается кибершпионажем и кражей данных.
Новый бэкдор, названный по имени изначально обнаруженного семпла — GoRed, имеет множество функций, включая:
- возможность подключения оператора и выполнения команд, как у других С2-фреймворко (Cobalt Strike, Sliver и так далее);
- использование RPC-протокола для коммуникации GoRed с управляющим сервером;
- использование DNS-/ICMP-туннелирования, WSS и Quic для коммуникации оператора с GoRed;
- возможность получения учетных данных со скомпрометированных систем;
- сбор различной информации из скомпрометированных систем, например, данных об активных процессах, имени хоста, списке сетевых интерфейсов, структуре файловых систем и так далее;
- разведку в сети жертвы с помощью различных команд;
- сериализацию, шифрование, архивирование и отправку собранных данных на специальный сервер, предназначенный для хранения скомпрометированных данных.
Специалисты заключают, что ExCobalt продолжает активно атаковать российские компании, улучшая свои методы и инструменты, включая бэкдор GoRed. К примеру, исследование показало, что хакеры расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа.