详细内容或原文请订阅后点击阅览
积极技术:ExCobalt 使用新的 GoRed 后门在俄罗斯进行网络间谍活动
后门允许您远程执行命令并收集数据。
来源:安全实验室新闻频道积极技术:ExCobalt 使用新的 GoRed 后门在俄罗斯进行网络间谍活动
后门允许您远程执行命令并收集数据。
Positive Technologies 专业中心 (PT ESC) 发现了一个以前未知的用 Go 编写的后门,网络犯罪组织 ExCobalt 使用该后门攻击俄罗斯组织。
积极的技术 显示2024 年 3 月,PT ESC 专家在调查一起事件时,在客户的一个 Linux 节点上发现了一个名为 scrond 的可疑文件,该文件是使用 UPX(Ultimate Packer for eXecutables)加壳器压缩的。在Go语言编写的解压样本数据中,发现包路径中包含子字符串red.team/go-red/。这表明该样本是专有的 GoRed 工具。在分析过程中发现,之前在响应其他客户端的事件时曾遇到过各种版本的 GoRed。
进一步分析表明,该工具与 ExCobalt 组织有关,PT ESC 在去年 11 月谈到了该组织的活动。 ExCobalt 因其对金属、电信、采矿、IT 和公共部门领域的俄罗斯公司的攻击而闻名。该组织从事网络间谍活动和数据盗窃。
告诉名为 GoRed 的新后门具有多种功能,包括远程命令执行、从受感染系统收集数据以及使用与 C2 服务器(命令和控制)通信的各种方法。
Positive Technologies 研究表明,ExCobalt 持续积极攻击俄罗斯公司,不断改进其方法和工具。 GoRed 后门正在扩展,以进行更复杂、更隐蔽的攻击和网络间谍活动。攻击者展示了使用修改后的工具绕过安全措施的灵活性,表明他们对公司基础设施中的漏洞有深刻的了解。