Las organizaciones rusas han sido atacadas por una banda de ciberdelincuentes llamada ExCobalt utilizando una puerta trasera previamente desconocida basada en Golang conocida como GoRed.
“ExCobalt se centra en el ciberespionaje e incluye varios miembros activos desde al menos 2016 y presumiblemente alguna vez formaron parte del notorio Pandilla de cobalto,” investigadores de Positive Technologies Vladislav Lunin y Alexander Badayev dicho en un informe técnico publicado esta semana.
“Cobalto instituciones financieras atacadas para robar fondos. Una de las características distintivas de Cobalt fue el uso del herramienta CobIntalgo que ExCobalt comenzó a utilizar en 2022″.
Los ataques organizados por el actor de amenazas han apuntado a varios sectores en Rusia durante el año pasado, incluidos el gobierno, la tecnología de la información, la metalurgia, la minería, el desarrollo de software y las telecomunicaciones.
El acceso inicial a los entornos se ve facilitado por Tomar ventaja de un previamente contratista comprometido y un ataque a la cadena de suministro, en el que el adversario infectó un componente utilizado para crear el software legítimo de la empresa objetivo, lo que sugiere un alto grado de sofisticación.
El modus operandi implica el uso de varias herramientas como Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT para ejecutar comandos en los hosts infectados y exploits de escalada de privilegios de Linux (CVE-2019-13272CVE-2021-3156, CVE-2021-4034 y CVE-2022-2586).
GoRed, que ha pasado por numerosas iteraciones desde su inicio, es una puerta trasera integral que permite a los operadores ejecutar comandos, obtener credenciales y recopilar detalles de procesos activos, interfaces de red y sistemas de archivos. Utiliza el protocolo de llamada a procedimiento remoto (RPC) para comunicarse con su servidor de comando y control (C2).
Es más, admite una serie de comandos en segundo plano para buscar archivos de interés y contraseñas, así como habilitar el shell inverso. Luego, los datos recopilados se exportan a la infraestructura controlada por el atacante.
“ExCobalt continúa demostrando un alto nivel de actividad y determinación al atacar a las empresas rusas, agregando constantemente nuevas herramientas a su arsenal y mejorando sus técnicas”, dijeron los investigadores.
“Además, ExCobalt demuestra flexibilidad y versatilidad al complementar su conjunto de herramientas con utilidades estándar modificadas, que ayudan al grupo a eludir fácilmente los controles de seguridad y adaptarse a los cambios en los métodos de protección”.