Специалисты Positive Technologies выявили ранее неизвестный бэкдор, написанный на Go. Малварь используется хак-группой ExCobalt, которая атакует российские организации. Как рассказывает Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в марте 2024 года, во время расследования инцидента исследователи обнаружили одном из Linux-узлов клиента файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables). В данных распакованного семпла, написанного на Go, обнаружились пути пакетов, содержащие подстроку red.team/go-red/. Из-за этого специалисты предположили, что семпл является проприетарным инструментом GoRed от некой Red Team. Однако упомянутый сайт выглядел как типичная визитка и практически не использовался создателями. Вся информация была датирована 2019 годом, а дизайн сайта выглядел типовым, похожим на многие подобные ресурсы. В процессе дальнейшего анализа GoRed выяснилось, что несколько версий этой программы уже встречали ранее во время реагирования на инциденты у ряда других клиентов. Дальнейший анализ позволил установить связь инструмента с группировкой ExCobalt, об атаках которой эксперты рассказывали в ноябре прошлого года. Еще тогда в отчете упоминался домен lib.rpm-bin.link, при энумерации директорий которого было получено множество инструментов, включая col — первую версию GoRed. Хак-группа ExCobalt существует с 2016 года и известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора, а также занимается кибершпионажем и кражей данных. Новый бэкдор, названный по имени изначально обнаруженного семпла — GoRed, имеет множество функций, включая: возможность подключения оператора и выполнения команд, как у других С2-фреймворко (Cobalt Strike, Sliver и так далее); использование RPC-протокола для коммуникации GoRed с управляющим сервером; использование DNS-/ICMP-туннелирования, WSS и Quic для коммуникации оператора с GoRed; возможность получения учетных данных со скомпрометированных систем; сбор различной информации из скомпрометированных систем, например, данных об активных процессах, имени хоста, списке сетевых интерфейсов, структуре файловых систем и так далее; разведку в сети жертвы с помощью различных команд; сериализацию, шифрование, архивирование и отправку собранных данных на специальный сервер, предназначенный для хранения скомпрометированных данных. Специалисты заключают, что ExCobalt продолжает активно атаковать российские компании, улучшая свои методы и инструменты, включая бэкдор GoRed. К примеру, исследование показало, что хакеры расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа.