Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
GoMet – prawdopodobnie rosyjski backdoor na Ukrainie. Na celowniku firma deweloperska dostarczająca oprogramowanie dla instytucji rządowych.
Problem relacjonuje Cisco Talos:
Współpracując z organizacjami ukraińskimi, Cisco Talos odkrył dość rzadki fragment złośliwego oprogramowania atakującego Ukrainę — tym razem skierowany na dużą firmę programistyczną, której oprogramowanie jest wykorzystywane w różnych organizacjach państwowych na Ukrainie.
Working jointly with Ukrainian organizations, Cisco Talos has discovered a fairly uncommon piece of malware targeting Ukraine — this time aimed at a large software development company whose software is used in various state organizations within Ukraine.
Historia backdoora (napisanego w Go) zaczęła się w 2019 roku, kiedy to kod został opublikowany na GitHubie – od tego czasu – wg Cisco Talos – kod został użyty tylko w dwóch kampaniach realizowanych przez APT. Pierwsza – wykorzystująca lukę RCE w urządzeniach F5 BigIP (CVE-2020-5902) oraz RCE w firewallach Sophosa (CVE-2022-1040). Warto zaznaczyć, że autorzy tych ataków zmodyfikowali oryginalny kod na swoje potrzeby.
Nie ma wskazanego dokładnego sposobu wejścia malware do infekowanej organizacji. Powyżej były wskazane podatności stricte w urządzeniach brzegowych, ale równie możliwy jest klasyczny phishing. W każdym razie Talos wspomina o tym, że wykorzystywany jest mechanizm utworzenia zadania w Windows, które jest fałszywym alertem mówiącym o aktualizacjach.
Jeśli z kolei chodzi o utrzymanie dostępu po restarcie – malware wykorzystuje dość ciekawą technikę – nie dodaje pod Windows całkiem nowego wpisu do autorun, tylko analizuje jakie oprogramowanie uruchamia się automatycznie na zainfekowanej maszynie, a następnie podmienia stosowną binarkę. Jeśli więc monitorujemy tylko nowe wpisy do windowsowego autorun – nic nie znajdziemy.
Wracając do początku newsa i informacji o firmie ukraińskiej softwareowej, w której prawdopodobnie zlokalizowano malware – swego czasu w pewnym sensie ~podobny scenariusz wykorzystał już dość wiekowy ransomware ~Petya, gdzie zainfekowano aktualizację programu księgowego MeDoc, wykorzystywanego przez znaczną liczbę ukraińskich organizacji.
~ms