У шпионящей в России группировки ExCobalt появился свой бэкдор на Golang

У шпионящей в России группировки ExCobalt появился свой бэкдор на Golang

У шпионящей в России группировки ExCobalt появился свой бэкдор на Golang

При разборе атаки на одного из своих клиентов эксперты Positive Technologies обнаружили в Linux-системе не встречавшийся ранее образец вредоноса. Анализ показал, что это написанный на Go многофункциональный бэкдор.

Дальнейшее расследование позволило установить связь GoRed (так его нарекли авторы находки) с кибергруппой ExCobalt, проводящей таргетированные атаки в России с целью шпионажа и кражи данных. Также выяснилось, что проприетарный зловред уже попадал на радары PT, но в других вариантах (текущая версия — 0.1.4).

После запуска GoRed прописывается в системе как сервис, генерирует ID жертвы (на основе MAC-адреса и имени компьютера), переходит в режим маяка, подключается к центру управления и ждет команд.

 

Обмен информацией с C2 может осуществляться различными способами (WebSockets, QUIC, ICMP- и DNS-туннели).

Список поддерживаемых команд:

  • работа в режимах обратного шелла, обратного прокси, heartbeat;
  • сбор и вывод данных о зараженном хосте;
  • чтение, удаление, эксфильтрация файлов по выбору;
  • сканирование сети;
  • загрузка файлов, в том числе обновлений.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сбер и Security Vision интегрируют решения для борьбы с киберугрозами

Сбер и компания Security Vision объявили о расширении партнёрства — теперь их решения в области кибербезопасности работают совместно. Цель — помочь российским компаниям эффективнее выявлять и устранять уязвимости в своей ИТ-инфраструктуре.

Система управления активами Security Vision AM теперь напрямую интегрируется с платформой Сбера по управлению киберугрозами X Threat Intelligence.

Это означает, что данные о потенциальных угрозах дополняются контекстом используемых в компании систем и сервисов. Такой подход упрощает приоритизацию уязвимостей и ускоряет реакцию на инциденты.

X Threat Intelligence — это платформа, которая агрегирует информацию о киберугрозах. Её могут использовать специалисты по ИБ, администраторы и разработчики — как через интерфейс, так и через API.

Сейчас в базе платформы содержится информация более чем о 470 тысячах уязвимостей, а также о вредоносных инструментах, тактиках атакующих и других элементах угроз.

Интеграция позволяет обогащать данные — как в обезличенном виде, так и с деталями об инфраструктуре, если это необходимо. В результате компании получают более полную картину происходящего и могут быстрее реагировать на угрозы.

Среди функций платформы: аналитика по уязвимостям, мониторинг внешней атакующей поверхности, анализ зловредов, данные о киберпреступных группировках и их тактиках, а также новости и аналитические отчёты по ИБ.

Сотрудничество двух вендоров направлено на то, чтобы российским компаниям было проще строить устойчивую систему защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru