Positive Technologies обнаружили GoRed Это бэкдор, атакующий российскую индустрию

Экспертный центр Positive Technologies (PT ESC) выявил ранее неизвестный бэкдор, написанный на языке Go, который используется киберпреступной группировкой ExCobalt для атак на российские организации.

В марте 2024 года специалисты PT ESC в ходе расследования инцидента обнаружили подозрительный файл под названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента. После распаковки семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/. Это позволило предположить, что семпл является проприетарным инструментом GoRed. Во время анализа выяснилось, что различные версии GoRed ранее уже встречались при реагировании на инциденты у других клиентов.

Дальнейший анализ показал, что данный инструмент связан с группировкой ExCobalt, о деятельности которой PT ESC рассказывала в ноябре прошлого года. ExCobalt известна своими атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и государственного сектора. Группировка занимается кибершпионажем и кражей данных.

Новый бэкдор GoRed обладает множеством функций, включая:

- удаленное выполнение команд,

- сбор данных из скомпрометированных систем,

- использование различных методов коммуникации с C2-серверами (Command and Control).

Исследование Positive Technologies показало, что ExCobalt продолжает активно атаковать российские компании, постоянно улучшая свои методы и инструменты. Бэкдор GoRed расширяется для более сложных и скрытных атак и кибершпионажа. Злоумышленники демонстрируют гибкость, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний.

Как стать хакером: