Puerta trasera GoRed

Las organizaciones rusas han sido atacadas por un grupo de cibercrimen conocido como ExCobalt, que emplea una puerta trasera recientemente descubierta basada en Golang llamada GoRed.

ExCobalt se especializa en ciberespionaje y está compuesto por varios miembros que han estado activos desde al menos 2016, probablemente provenientes de la infame Cobalt Gang. Cobalt Gang era conocido por atacar a instituciones financieras para recibir dinero, y una de sus herramientas distintivas era CobInt. ExCobalt adoptó el uso de CobInt en 2022.

Numerosas herramientas dañinas explotadas en ataques contra objetivos

Durante el año pasado, el actor de amenazas se dirigió a varios sectores en Rusia, incluido el gobierno, la tecnología de la información, la metalurgia, la minería, el desarrollo de software y las telecomunicaciones.

Los atacantes obtienen acceso inicial a los entornos explotando a un contratista previamente comprometido y realizando un ataque a la cadena de suministro, donde infectan un componente utilizado para construir el software legítimo de la empresa objetivo, lo que indica un alto nivel de sofisticación.

Su modus operandi implica el uso de varias herramientas, como Metasploit, Mimikatz , ProcDump, SMBExec y Spark RAT para ejecutar comandos en hosts infectados, así como exploits de escalada de privilegios de Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 y CVE-2022-2586).

La puerta trasera de GoRed proporciona numerosas acciones intrusivas a los actores de amenazas

GoRed, que ha evolucionado a través de numerosas iteraciones desde su inicio, es una puerta trasera versátil que permite a los operadores ejecutar comandos, obtener credenciales y recopilar detalles sobre procesos activos, interfaces de red y sistemas de archivos. Utiliza el protocolo de llamada a procedimiento remoto (RPC) para comunicarse con su servidor de comando y control (C2).

Además, GoRed admite varios comandos en segundo plano para monitorear archivos de interés y contraseñas, además de habilitar un shell inverso. Luego, los datos recopilados se exportan a una infraestructura controlada por el atacante.

ExCobalt continúa mostrando un alto nivel de actividad y determinación a la hora de apuntar a las empresas rusas, añadiendo continuamente nuevas herramientas a su arsenal y perfeccionando sus técnicas. Además, ExCobalt demuestra flexibilidad y adaptabilidad al incorporar utilidades estándar modificadas en su conjunto de herramientas, lo que permite al grupo eludir fácilmente los controles de seguridad y adaptarse a los cambios en los métodos de protección.

Las infecciones de malware de puerta trasera podrían tener consecuencias graves

Una infección con un malware de puerta trasera puede tener graves consecuencias para sus víctimas, lo que lleva a:

• Acceso no autorizado : las puertas traseras permiten a los atacantes obtener acceso no autorizado al sistema o red infectado. Esto puede terminar con el robo de información personal que puede incluir datos personales, registros financieros, propiedad intelectual o información gubernamental clasificada.
• Robo de datos y espionaje : los atacantes pueden extraer datos del sistema comprometido, lo que lleva a posibles violaciones de datos. Esta información recopilada puede venderse en la Dark Web, utilizarse para el robo de identidad o explotarse para obtener ventajas competitivas por parte de organizaciones rivales.
• Vigilancia persistente : las puertas traseras a menudo permiten una vigilancia persistente al permitir a los atacantes monitorear la actividad de los usuarios, capturar pulsaciones de teclas, registrar contraseñas y observar el tráfico de la red. Esta vigilancia puede comprometer la confidencialidad y privacidad de personas y organizaciones.
• Manipulación del sistema : los atacantes pueden manipular el sistema comprometido con fines dañinos, como lanzar ataques adicionales (por ejemplo, distribuir spam o lanzar ataques DDoS), alterar o eliminar datos o interrumpir servicios críticos.
• Daño a la reputación y la confianza : una infracción causada por malware de puerta trasera puede dañar la reputación de una organización y erosionar la confianza del cliente. Las organizaciones pueden enfrentar repercusiones legales y regulatorias, especialmente si no protegen adecuadamente los datos confidenciales.
• Pérdidas financieras : los esfuerzos de remediación, incluidas investigaciones forenses, reparaciones de sistemas y posibles honorarios legales, pueden generar pérdidas financieras significativas para las organizaciones afectadas. Además, el tiempo de inactividad y las pérdidas de productividad pueden afectar los ingresos y la eficiencia operativa.
• Interrupción operativa : un malware de puerta trasera puede provocar importantes interrupciones operativas, que van desde interrupciones del servicio hasta comprometer la integridad de la red. Esto puede afectar las operaciones diarias y potencialmente provocar la pérdida de oportunidades comerciales.
• Compromisos a largo plazo : si no se detectan o no se solucionan adecuadamente, las puertas traseras pueden comprometer persistentemente los sistemas, permitiendo a los atacantes acceso y control continuos. Este compromiso a largo plazo puede ampliar el impacto y profundizar la gravedad de las consecuencias con el tiempo.

En resumen, una infección con malware de puerta trasera plantea graves riesgos para las víctimas, que abarcan repercusiones financieras, operativas, reputacionales y legales. Las medidas preventivas, como prácticas sólidas de ciberseguridad, auditorías periódicas y capacitación de los empleados, son cruciales para mitigar estos riesgos y protegerse contra tales amenazas.