ExCobalt网络团伙以新的GoRed后门瞄准俄罗斯部门

民生   2024-06-24 08:59   海南  

新闻


    看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP知识点,车联网渗透红队以及漏洞挖掘工具等信息分享,欢迎加入;以及想挖SRC逻辑漏洞的朋友,可以私聊。





01



新闻


    俄罗斯组织已成为一个名为ExCobalt的网络犯罪团伙的目标,该团伙使用了一个以前不为人知的Golang后门GoRed。

    Positive Technologies的研究人员弗拉迪斯拉夫·鲁宁(Vladislav Lunin)和亚历山大·巴达耶夫(Alexander Badayev)在本周发布的一份技术报告中表示:“ExCobalt专注于网络间谍活动,包括至少自2016年以来活跃的几名成员,可能曾经是臭名昭著的钴帮的一部分。”。

    “Cobalt攻击金融机构窃取资金。Cobalt的标志之一是使用CobInt工具,ExCobalt于2022年开始使用该工具。”

    在过去的一年里,这一威胁行为体发动的攻击针对了俄罗斯的各个部门,包括政府、信息技术、冶金、采矿、软件开发和电信。

    通过利用先前受损的承包商和供应链攻击来促进对环境的初始访问,其中对手感染了用于构建目标公司合法软件的组件,这表明其高度复杂。

    ExCobalt操作方式需要使用各种工具,如Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT,以便在受感染的主机上执行命令,以及Linux权限提升利用(CVE-2019-13272、CVE-2021-3156、CVE-2011-4034和CVE-2022-2586)。

    GoRed自成立以来经历了多次迭代,是一个全面的后门,允许操作员执行命令、获取凭据并获取活动进程、网络接口和文件系统的详细信息。它利用远程过程调用(RPC)协议与其命令和控制(C2)服务器进行通信。

    此外,它还支持许多后台命令来监视感兴趣的文件和密码,并启用反向shell。然后,收集的数据被导出到攻击者控制的基础设施。

    研究人员表示:“ExCobalt在攻击俄罗斯公司方面继续表现出高度的活动性和决心,不断向其武器库添加新工具,并改进其技术。”。

    “此外,ExCobalt通过用修改后的标准实用程序补充其工具集,展示了灵活性和多功能性,这有助于该集团轻松绕过安全控制,适应保护方法的变化。”





更多精彩内容请扫码关注“重生者安全”星球

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。





道玄网安驿站
本号主推OSCP,vulnhub,车联网,红蓝对抗,挖洞,网络新闻等网络安全信息,喜欢的可以关注
 最新文章