Russische organisaties zijn het doelwit geworden van een cybercriminaliteitsbende genaamd ExCobalt die gebruik maakt van een voorheen onbekende, op Golang gebaseerde achterdeur, bekend als GoRed.
“ExCobalt richt zich op cyberspionage en omvat verschillende leden die actief zijn sinds minstens 2016 en vermoedelijk ooit deel uitmaakten van de beruchte Cobalt Gang”, zeiden Positive Technologies-onderzoekers Vladislav Lunin en Alexander Badayev in een technisch rapport dat deze week werd gepubliceerd.
“Kobalt viel financiële instellingen aan om geld te stelen. Een van de kenmerken van Cobalt was het gebruik van de CobInt-tool, iets dat ExCobalt in 2022 begon te gebruiken.”
Aanvallen van deze dreigingsactor hebben het afgelopen jaar verschillende sectoren in Rusland in het vizier gehad, waaronder de overheid, informatietechnologie, metallurgie, mijnbouw, softwareontwikkeling en telecommunicatie.
De initiële toegang tot omgevingen wordt vergemakkelijkt door gebruik te maken van een eerder gecompromitteerde aannemer en een supply chain-aanval, waarbij de tegenstander een component infecteerde die werd gebruikt om de legitieme software van het doelbedrijf te bouwen, wat duidt op een hoge mate van verfijning.
De modus operandi omvat het gebruik van verschillende tools zoals Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT voor het uitvoeren van opdrachten op de geïnfecteerde hosts, en Linux-escalatie-exploits voor privileges (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 en CVE-2022-2586).
GoRed, dat sinds de oprichting talloze iteraties heeft ondergaan, is een uitgebreide achterdeur waarmee operators opdrachten kunnen uitvoeren, inloggegevens kunnen verkrijgen en details van actieve processen, netwerkinterfaces en bestandssystemen kunnen verzamelen. Het maakt gebruik van het Remote Procedure Call (RPC)-protocol om te communiceren met de command-and-control (C2)-server.
Bovendien ondersteunt het een aantal achtergrondcommando’s om te letten op interessante bestanden en wachtwoorden, en maakt het reverse shell mogelijk. De verzamelde gegevens worden vervolgens geëxporteerd naar de door de aanvaller gecontroleerde infrastructuur.
“ExCobalt blijft een hoog niveau van activiteit en vastberadenheid tonen bij het aanvallen van Russische bedrijven, door voortdurend nieuwe instrumenten aan zijn arsenaal toe te voegen en zijn technieken te verbeteren”, aldus de onderzoekers.
“Bovendien demonstreert ExCobalt flexibiliteit en veelzijdigheid door zijn toolset aan te vullen met aangepaste standaardhulpprogramma’s, die de groep helpen om gemakkelijk beveiligingscontroles te omzeilen en zich aan te passen aan veranderingen in beveiligingsmethoden.”
