Organizações russas foram alvo de uma gangue de crimes cibernéticos chamada ExCobalt, usando um backdoor até então desconhecido baseado em Golang, conhecido como GoRed.
“A ExCobalt se concentra na espionagem cibernética e inclui vários membros ativos desde pelo menos 2016 e presumivelmente já fizeram parte da notória Gangue Cobalt”, disseram os pesquisadores da Constructive Applied sciences Vladislav Lunin e Alexander Badayev em um relatório técnico publicado esta semana.
“A Cobalt atacou instituições financeiras para roubar fundos. Uma das marcas da Cobalt foi o uso da ferramenta CobInt, algo que a ExCobalt começou a usar em 2022.”
Os ataques montados pelo ator ameaçador destacaram vários setores na Rússia durante o ano passado, incluindo governo, tecnologia da informação, metalurgia, mineração, desenvolvimento de software program e telecomunicações.
O acesso inicial aos ambientes é facilitado aproveitando-se de um contratante previamente comprometido e de um ataque à cadeia de suprimentos, em que o adversário infectou um componente usado para construir o software program legítimo da empresa alvo, sugerindo um alto grau de sofisticação.
O modus operandi envolve o uso de várias ferramentas como Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT para executar comandos nos hosts infectados e explorações de escalonamento de privilégios do Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 e CVE-2022-2586).
GoRed, que passou por inúmeras iterações desde o seu início, é um backdoor abrangente que permite aos operadores executar comandos, obter credenciais e coletar detalhes de processos ativos, interfaces de rede e sistemas de arquivos. Ele utiliza o protocolo Distant Process Name (RPC) para se comunicar com seu servidor de comando e controle (C2).
Além do mais, ele suporta uma série de comandos em segundo plano para monitorar arquivos de interesse e senhas, bem como ativar o shell reverso. Os dados coletados são então exportados para a infraestrutura controlada pelo invasor.
“A ExCobalt continua a demonstrar um elevado nível de atividade e determinação no ataque às empresas russas, acrescentando constantemente novas ferramentas ao seu arsenal e melhorando as suas técnicas”, afirmaram os investigadores.
“Além disso, a ExCobalt demonstra flexibilidade e versatilidade ao complementar seu conjunto de ferramentas com utilitários padrão modificados, que ajudam o grupo a contornar facilmente os controles de segurança e a se adaptar às mudanças nos métodos de proteção”.
