Nordkoreanska hackare avslöjar Goldbackdoor Malware

Nordkoreas hackergrupper är bland de mest ökända cyberbrottsorganisationerna i världen. Majoriteten av deras attacker är antingen ekonomiskt eller politiskt motiverade. En av de senaste nyttolasterna de använder kallas Goldbackdoor Malware, och den verkar ha varit i bruk sedan mars. Under de senaste två månaderna har Goldbackdoor Malware använts i attacker mot journalister över hela världen, och det primära syftet med kampanjen är datastöld. Det är dock möjligt för brottslingarna att utföra andra uppgifter på grund av egenskaperna hos Goldbackdoor Malware.

De troliga bovarna bakom Goldbackdoor Malware-operationen tros vara en Advanced Persistent Threat-grupp (APT) som spåras under aliaset APT37. De är också välkända under namnet ScarCruft . Den nyligen identifierade Goldbackdoor Malware har återställts från komprometterade system av sydkoreanska journalister, och det verkar dela likheter med tidigare ScarCruft malware som Bluelight.

Offer för Goldbackdoor Malware verkar ha kontaktats via skickligt utformade spear-phishing-e-postmeddelanden, som rör aktuella trender och ämnen för att göra det mer sannolikt att offret kommer att falla för betet. Dessutom verkar hackarna ha äventyrat legitima e-postkonton för att göra deras spamkampanj mer trovärdig. Ett av meddelandena som innehåller Goldbackdoor Malware-bilagan skickades från det personliga e-postmeddelandet från en tidigare chef för National Intelligence Service i Sydkorea.

När det gäller nyttolasten förlitar den sig på offentliga molnvärdtjänster för att exfiltrera data till, såväl som att ta emot kommandon från. Några av de legitima tjänster som Goldbackdoor Malware förlitar sig på är Microsoft Azure, OneDrive, Google Docs och Graph API:er. Attacker av denna typ är exceptionellt farliga, eftersom brandväggsverktyg kanske inte kan fånga den skadliga trafiken. En ansedd antivirusprodukt bör dock fortfarande vara tillräckligt för att avsluta Goldbackdoor Malware.