北朝鮮のハッカーがゴールドバックドアマルウェアを明らかに

北朝鮮のハッキンググループは、世界で最も悪名高いサイバー犯罪組織の1つです。彼らの攻撃の大部分は、財政的または政治的な動機によるものです。彼らが使用する最新のペイロードの1つはGoldbackdoorMalwareと呼ばれ、3月から使用されているようです。過去2か月間、Goldbackdoorマルウェアは世界中のジャーナリストに対する攻撃に使用されており、キャンペーンの主な目的はデータの盗難です。ただし、Goldbackdoor Malwareの機能の性質上、犯罪者が他のタスクを実行する可能性があります。

Goldbackdoor Malware操作の背後にある可能性のある原因は、エイリアスAPT37で追跡されているAdvanced Persistent Threat（APT）グループであると考えられています。それらはScarCruftという名前でもよく知られています。新たに特定されたGoldbackdoorマルウェアは、韓国のジャーナリストの侵害されたシステムから回収されており、Bluelightなどの以前のScarCruftマルウェアと類似点を共有しているようです。

Goldbackdoorマルウェアの被害者は、巧妙に作成されたスピアフィッシングメールを介してアプローチされているようです。これは、被害者が餌に落ちる可能性を高めるために、現在の傾向とトピックに関係しています。さらに、ハッカーは、スパムキャンペーンをより信頼できるものにするために、正当な電子メールアカウントを侵害したようです。 Goldbackdoorマルウェアの添付ファイルを含むメッセージの1つは、韓国国家情報院の元局長の個人的な電子メールから送信されました。

ペイロードに関しては、パブリッククラウドホスティングサービスに依存してデータを盗み出し、コマンドを受信します。 Goldbackdoor Malwareが依存している正当なサービスには、Microsoft Azure、OneDrive、Google Docs、およびGraphAPIがあります。このタイプの攻撃は、ファイアウォールユーティリティが悪意のあるトラフィックをキャッチできない可能性があるため、非常に危険です。ただし、信頼できるウイルス対策製品は、Goldbackdoorマルウェアを終了させるのに十分なはずです。