Nordkoreanske hackere avslører Goldbackdoor Malware

Nord-Koreas hackergrupper er blant de mest beryktede cyberkriminalitetsorganisasjonene i verden. Flertallet av angrepene deres er enten økonomisk eller politisk motivert. En av de siste nyttelastene de bruker kalles Goldbackdoor Malware, og den ser ut til å ha vært i bruk siden mars. I løpet av de siste to månedene har Goldbackdoor Malware blitt brukt i angrep mot journalister over hele verden, og hovedformålet med kampanjen er datatyveri. Det er imidlertid mulig for kriminelle å utføre andre oppgaver på grunn av egenskapene til Goldbackdoor Malware.

De sannsynlige skyldige bak Goldbackdoor Malware-operasjonen antas å være en Advanced Persistent Threat (APT)-gruppe sporet under aliaset APT37. De er også godt kjent under navnet ScarCruft . Den nylig identifiserte Goldbackdoor Malware har blitt gjenopprettet fra kompromitterte systemer av sørkoreanske journalister, og det ser ut til å dele likheter med tidligere ScarCruft-skadevare som Bluelight.

Ofre for Goldbackdoor Malware ser ut til å bli kontaktet via smart utformede spyd-phishing-e-poster, som angår aktuelle trender og emner for å gjøre det mer sannsynlig at offeret vil falle for agnet. Videre ser det ut til at hackerne har kompromittert legitime e-postkontoer for å gjøre spamkampanjen deres mer troverdig. En av meldingene som inneholder Goldbackdoor Malware-vedlegget ble sendt fra den personlige e-posten til en tidligere direktør for National Intelligence Service i Sør-Korea.

Når det gjelder nyttelasten, er den avhengig av offentlige skyvertstjenester for å eksfiltrere data til, samt motta kommandoer fra. Noen av de legitime tjenestene som Goldbackdoor Malware er avhengig av er Microsoft Azure, OneDrive, Google Docs og Graph APIer. Angrep av denne typen er usedvanlig farlige, siden brannmurverktøy kanskje ikke kan fange opp den ondsinnede trafikken. Imidlertid bør et anerkjent antivirusprodukt fortsatt være nok til å avslutte Goldbackdoor Malware.