Βορειοκορεάτες χάκερ αποκαλύπτουν το κακόβουλο λογισμικό Goldbackdoor

Οι ομάδες χάκερ της Βόρειας Κορέας είναι από τις πιο διαβόητες οργανώσεις εγκλήματος στον κυβερνοχώρο στον κόσμο. Η πλειονότητα των επιθέσεων τους έχει είτε οικονομικά είτε πολιτικά κίνητρα. Ένα από τα πιο πρόσφατα ωφέλιμα φορτία που χρησιμοποιούν ονομάζεται Goldbackdoor Malware και φαίνεται να χρησιμοποιείται από τον Μάρτιο. Τους τελευταίους δύο μήνες, το κακόβουλο λογισμικό Goldbackdoor έχει χρησιμοποιηθεί σε επιθέσεις εναντίον δημοσιογράφων παγκοσμίως και ο πρωταρχικός σκοπός της εκστρατείας είναι η κλοπή δεδομένων. Ωστόσο, είναι δυνατό για τους εγκληματίες να εκτελέσουν άλλες εργασίες λόγω της φύσης των χαρακτηριστικών του Goldbackdoor Malware.

Οι πιθανοί ένοχοι πίσω από τη λειτουργία Goldbackdoor Malware πιστεύεται ότι είναι μια ομάδα Advanced Persistent Threat (APT) που παρακολουθείται με το ψευδώνυμο APT37. Είναι επίσης γνωστά με το όνομα ScarCruft . Το πρόσφατα εντοπισμένο κακόβουλο λογισμικό Goldbackdoor ανακτήθηκε από παραβιασμένα συστήματα Νοτιοκορεατών δημοσιογράφων και φαίνεται να έχει ομοιότητες με το προηγούμενο κακόβουλο λογισμικό ScarCruft, όπως το Bluelight.

Τα θύματα του κακόβουλου λογισμικού Goldbackdoor φαίνεται να προσεγγίζονται μέσω έξυπνα κατασκευασμένων ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος, τα οποία αφορούν τις τρέχουσες τάσεις και θέματα για να κάνουν πιο πιθανό το θύμα να πέσει στο δόλωμα. Επιπλέον, οι χάκερ φαίνεται να έχουν παραβιάσει νόμιμους λογαριασμούς email για να κάνουν την καμπάνια ανεπιθύμητης αλληλογραφίας τους πιο πιστευτή. Ένα από τα μηνύματα που περιείχε το συνημμένο κακόβουλο λογισμικό Goldbackdoor στάλθηκε από το προσωπικό email ενός πρώην διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών της Νότιας Κορέας.

Όσον αφορά το ωφέλιμο φορτίο, βασίζεται σε δημόσιες υπηρεσίες φιλοξενίας cloud για τη διείσδυση δεδομένων, καθώς και για τη λήψη εντολών από. Μερικές από τις νόμιμες υπηρεσίες στις οποίες βασίζεται το Goldbackdoor Malware είναι τα Microsoft Azure, OneDrive, Έγγραφα Google και Graph API. Οι επιθέσεις αυτού του τύπου είναι εξαιρετικά επικίνδυνες, καθώς τα βοηθητικά προγράμματα τείχους προστασίας ενδέχεται να μην μπορούν να συλλάβουν την κακόβουλη κίνηση. Ωστόσο, ένα αξιόπιστο προϊόν προστασίας από ιούς θα πρέπει να είναι αρκετό για να τερματίσει το κακόβουλο λογισμικό Goldbackdoor.