Multi-License Discount Quote
脅威データベース Backdoors GoRed バックドア

GoRed バックドア

Backdoors, Advanced Persistent Threat (APT), MalwareMezoまで
翻訳内容:
日本語

ロシアの組織は、新たに発見された Golang ベースのバックドア「GoRed」を使用する ExCobalt と呼ばれるサイバー犯罪グループによる攻撃を受けました。

ExCobalt はサイバースパイを専門としており、少なくとも 2016 年から活動している数名のメンバーで構成されており、悪名高いCobalt Gang 出身である可能性が高い。Cobalt Gang は金融機関を標的にして金銭を奪うことで悪名高く、その代表的なツールの 1 つが CobInt だった。ExCobalt は 2022 年にCobIntの使用を開始した。

標的への攻撃に悪用される多数の破壊ツール

過去1年間、この脅威アクターはロシアの政府、情報技術、冶金、鉱業、ソフトウェア開発、通信など、さまざまな分野を標的にしてきました。

攻撃者は、以前に侵害を受けた請負業者を悪用し、サプライ チェーン攻撃を実行して環境への最初のアクセスを取得し、ターゲット企業の正規のソフトウェアの構築に使用されるコンポーネントに感染させます。これは、高度なレベルの巧妙さを示しています。

彼らの手口には、Metasploit、 Mimikatz 、ProcDump、SMBExec、 Spark RAT などの複数のツールを使用して感染したホスト上でコマンドを実行することや、Linux 権限昇格エクスプロイト (CVE-2019-13272、CVE-2021-3156、CVE-2021-4034、CVE-2022-2586) を使用することが含まれます

GoRedバックドアは脅威アクターに数多くの侵入アクションを提供します

GoRed は、登場以来、何度も繰り返し進化を遂げてきた多機能なバックドアで、オペレーターがコマンドを実行し、資格情報を取得し、アクティブなプロセス、ネットワーク インターフェイス、ファイル システムに関する詳細を収集できるようにします。リモート プロシージャ コール (RPC) プロトコルを使用して、コマンド アンド コントロール (C2) サーバーと通信します。

さらに、GoRed は、関心のあるファイルやパスワードを監視するためのさまざまなバックグラウンド コマンドをサポートし、リバース シェルを有効にします。収集されたデータは、攻撃者が制御するインフラストラクチャにエクスポートされます。

ExCobalt はロシア企業を標的とする活動と決意を引き続き活発に展開しており、常に新しいツールを武器に加え、その技術を改良しています。さらに、ExCobalt は、変更された標準ユーティリティをツールセットに組み込むことで柔軟性と適応性を発揮し、グループがセキュリティ制御を簡単に回避し、保護方法の変更に適応できるようにしています。

バックドアマルウェア感染は深刻な結果を招く可能性がある

バックドア マルウェアに感染すると、被害者に深刻な結果をもたらし、次のような事態を引き起こす可能性があります。

  • 不正アクセス: バックドアにより、攻撃者は感染したシステムまたはネットワークに不正アクセスできるようになります。これにより、個人データ、財務記録、知的財産、機密の政府情報などの個人情報が盗まれる可能性があります。
  • データ盗難とスパイ活動: 攻撃者は侵害されたシステムからデータを盗み出し、潜在的なデータ侵害を引き起こす可能性があります。収集された情報は、ダーク ウェブで販売されたり、個人情報の盗難に使用されたり、競合組織によって競争上の優位性を得るために悪用されたりする可能性があります。
  • 永続的な監視: バックドアは、攻撃者がユーザーのアクティビティを監視したり、キーストロークをキャプチャしたり、パスワードを記録したり、ネットワーク トラフィックを観察できるようにすることで、永続的な監視を可能にすることがよくあります。この監視により、個人や組織の機密性とプライバシーが侵害される可能性があります。
  • システム操作: 攻撃者は、さらなる攻撃の開始 (例: スパムの配布、DDoS 攻撃の開始)、データの変更または削除、重要なサービスの中断など、有害な目的で侵害されたシステムを操作する可能性があります。
  • 評判と信頼へのダメージ: バックドア マルウェアによる侵害は、組織の評判を損ない、顧客の信頼を損なう可能性があります。特に機密データを適切に保護していない場合、組織は法的および規制上の影響を受ける可能性があります。
  • 経済的損失: フォレンジック調査、システム修復、訴訟費用などの修復作業は、影響を受ける組織に多大な経済的損失をもたらす可能性があります。さらに、ダウンタイムと生産性の低下は、収益と運用効率に影響を及ぼす可能性があります。
  • 業務の中断: バックドア マルウェアは、サービスの停止からネットワークの整合性の侵害に至るまで、重大な業務の中断を引き起こす可能性があります。これは日常業務に影響を及ぼし、ビジネス チャンスの損失につながる可能性があります。
  • 長期的な侵害: バックドアが検出されなかったり、適切に修復されなかったりすると、システムが継続的に侵害され、攻撃者が継続的にアクセスして制御できるようになります。この長期的な侵害により、影響が拡大し、時間の経過とともに結果の深刻度が増す可能性があります。

要約すると、バックドア マルウェアに感染すると、金銭面、業務面、評判面、法的な影響など、被害者に重大なリスクが生じます。これらのリスクを軽減し、このような脅威から保護するには、堅牢なサイバー セキュリティ対策、定期的な監査、従業員のトレーニングなどの予防措置が不可欠です。

トレンド

Watz ランサムウェア

Ransomware
ランサムウェアは、身代金が支払われるまでデータを暗号化する有害なソフトウェアです。このサイバー脅威はますます蔓延しており、個人や組織を標的にして重要なデータを侵害し、金銭を脅し取ろうとしています。 マルウェアの脅威を詳細に分析しているときに、サイバーセキュリティ研究者は Watz ランサムウェアと呼ばれる新しい亜種を発見しました。この特定の亜種はファイルを暗号化し、ファイル名に拡張子「.wa...

JoisApp

望ましくない可能性のあるプログラム, Adware
潜在的に不要なプログラム (PUP) は、望ましいソフトウェアと一緒に、または不正な広告ネットワークを通じてデバイスに侵入し、システムに危害や望ましくない影響を与える可能性のあるソフトウェア アプリケーションです。PUP には、アドウェア、ブラウザ ハイジャッカー、ユーザーがインストールするつもりのないその他の種類のソフトウェアが含まれる場合があります。 不正な広告ネットワークを利用すること...

Lerophogainsub.com

Rogue Websites, Adware
Lerophogainsub.com は、ユーザーを騙してプッシュ通知を有効にさせ、有害な広告で画面を溢れさせるように設計された詐欺的な Web サイトとして機能します。ユーザーは、突然押し寄せてくる煩わしいポップアップに不意を突かれることがよくあります。他のアプリケーションを見えなくするこれらの執拗な中断に圧倒されて初めて、Lerophogainsub.com とやり取りしたことに気づく人...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
84,019
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
65,380
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
62,888
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...