Nordkoreanske hackere afslører Goldbackdoor-malwaren

Nordkoreas hackergrupper er blandt de mest berygtede cyberkriminalitetsorganisationer i verden. Størstedelen af deres angreb er enten økonomisk eller politisk motiverede. En af de seneste nyttelaster, de bruger, kaldes Goldbackdoor Malware, og den ser ud til at have været i brug siden marts. I løbet af de sidste to måneder er Goldbackdoor Malware blevet brugt i angreb mod journalister verden over, og det primære formål med kampagnen er datatyveri. Det er dog muligt for de kriminelle at udføre andre opgaver på grund af karakteren af Goldbackdoor Malwares funktioner.

De sandsynlige skyldige bag Goldbackdoor Malware-operationen menes at være en Advanced Persistent Threat (APT)-gruppe sporet under aliaset APT37. De er også velkendte under navnet ScarCruft . Den nyligt identificerede Goldbackdoor Malware er blevet gendannet fra kompromitterede systemer fra sydkoreanske journalister, og den ser ud til at dele ligheder med tidligere ScarCruft-malware såsom Bluelight.

Ofre for Goldbackdoor Malware ser ud til at blive kontaktet via smart udformede spear-phishing-e-mails, som vedrører aktuelle tendenser og emner for at gøre det mere sandsynligt, at offeret vil falde for lokkemad. Desuden ser hackerne ud til at have kompromitteret legitime e-mail-konti for at gøre deres spam-kampagne mere troværdig. En af meddelelserne, der indeholdt Goldbackdoor Malware-vedhæftningen, blev sendt fra den personlige e-mail fra en tidligere direktør for National Intelligence Service i Sydkorea.

Hvad angår nyttelasten, er den afhængig af offentlige cloud-hostingtjenester til at eksfiltrere data til såvel som til at modtage kommandoer fra. Nogle af de legitime tjenester, som Goldbackdoor Malware er afhængig af, er Microsoft Azure, OneDrive, Google Docs og Graph API'er. Angreb af denne type er usædvanligt farlige, da firewall-værktøjer måske ikke er i stand til at fange den ondsindede trafik. Et velrenommeret antivirusprodukt skulle dog stadig være nok til at afslutte Goldbackdoor Malware.