Az észak-koreai hackerek felfedték a Goldbackdoor malware-t

Az észak-koreai hackercsoportok a világ leghírhedtebb kiberbűnözési szervezetei közé tartoznak. Támadásaik többsége anyagi vagy politikai indíttatású. Az egyik legújabb, általuk használt hasznos adat a Goldbackdoor Malware, és úgy tűnik, hogy március óta használják. Az elmúlt két hónapban a Goldbackdoor Malware-t világszerte alkalmazták újságírók elleni támadásokban, és a kampány elsődleges célja az adatlopás. A Goldbackdoor Malware szolgáltatásainak természetéből adódóan azonban a bűnözők más feladatokat is elláthatnak.

A Goldbackdoor Malware művelet mögött valószínűleg egy Advanced Persistent Threat (APT) csoport állhat, amelyet APT37 álnéven követnek nyomon. ScarCruft néven is jól ismertek. Az újonnan azonosított Goldbackdoor Malware-t a dél-koreai újságírók feltört rendszereiből állították helyre, és úgy tűnik, hogy hasonló a korábbi ScarCruft kártevőkkel, mint például a Bluelight.

Úgy tűnik, hogy a Goldbackdoor Malware áldozatait ügyesen kidolgozott adathalász e-maileken keresztül keresik meg, amelyek az aktuális trendeket és témákat érintik, hogy nagyobb valószínűséggel essen bele a csaliba. Ezenkívül úgy tűnik, hogy a hackerek feltörték a legális e-mail fiókokat, hogy hihetőbbé tegyék spamkampányukat. Az egyik Goldbackdoor Malware mellékletet tartalmazó üzenet a Dél-Koreai Nemzeti Hírszerző Szolgálat egykori igazgatójának személyes e-mailjéből érkezett.

Ami a hasznos terhet illeti, nyilvános felhőtárhely-szolgáltatásokra támaszkodik az adatok kiszűréséhez, valamint a parancsok fogadásához. A Goldbackdoor Malware által használt legális szolgáltatások közül néhány a Microsoft Azure, a OneDrive, a Google Docs és a Graph API-k. Az ilyen típusú támadások rendkívül veszélyesek, mivel előfordulhat, hogy a tűzfalprogramok nem képesek elkapni a rosszindulatú forgalmat. Egy jó hírű víruskereső terméknek azonban továbbra is elegendőnek kell lennie a Goldbackdoor Malware megszüntetéséhez.