На вооружении группировки ExCobalt обнаружен написанный на Go бэкдор - «Новости»

Специалисты Positive Technologies выявили ранее неизвестный бэкдор, написанный на Go. Малварь используется хак-группой ExCobalt, которая атакует российские организации.

Как рассказывает Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies, в марте 2024 года, во время расследования инцидента исследователи обнаружили одном из Linux-узлов клиента файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables).

В данных распакованного семпла, написанного на Go, обнаружились пути пакетов, содержащие подстроку red.team/go-red/. Из-за этого специалисты предположили, что семпл является проприетарным инструментом GoRed от некой Red Team.

Однако упомянутый сайт выглядел как типичная визитка и практически не использовался создателями. Вся информация была датирована 2019 годом, а дизайн сайта выглядел типовым, похожим на многие подобные ресурсы.

В процессе дальнейшего анализа GoRed выяснилось, что несколько версий этой программы уже встречали ранее во время реагирования на инциденты у ряда других клиентов.

Дальнейший анализ позволил установить связь инструмента с группировкой ExCobalt, об атаках которой эксперты рассказывали в ноябре прошлого года. Еще тогда в отчете упоминался домен lib.rpm-bin.link, при энумерации директорий которого было получено множество инструментов, включая col — первую версию GoRed.

Хак-группа ExCobalt существует с 2016 года и известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора, а также занимается кибершпионажем и кражей данных.

Новый бэкдор, названный по имени изначально обнаруженного семпла — GoRed, имеет множество функций, включая:

• возможность подключения оператора и выполнения команд, как у других С2-фреймворко (Cobalt Strike, Sliver и так далее);


• использование RPC-протокола для коммуникации GoRed с управляющим сервером;


• использование DNS-/ICMP-туннелирования, WSS и Quic для коммуникации оператора с GoRed;


• возможность получения учетных данных со скомпрометированных систем;


• сбор различной информации из скомпрометированных систем, например, данных об активных процессах, имени хоста, списке сетевых интерфейсов, структуре файловых систем и так далее;


• разведку в сети жертвы с помощью различных команд;


• сериализацию, шифрование, архивирование и отправку собранных данных на специальный сервер, предназначенный для хранения скомпрометированных данных.

Специалисты заключают, что ExCobalt продолжает активно атаковать российские компании, улучшая свои методы и инструменты, включая бэкдор GoRed. К примеру, исследование показало, что хакеры расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа.