Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

GoMet – prawdopodobnie rosyjski backdoor na Ukrainie. Na celowniku firma deweloperska dostarczająca oprogramowanie dla instytucji rządowych.

23 lipca 2022, 09:49 | W biegu | 0 komentarzy

Problem relacjonuje Cisco Talos:

Współpracując z organizacjami ukraińskimi, Cisco Talos odkrył dość rzadki fragment złośliwego oprogramowania atakującego Ukrainę — tym razem skierowany na dużą firmę programistyczną, której oprogramowanie jest wykorzystywane w różnych organizacjach państwowych na Ukrainie.

Working jointly with Ukrainian organizations, Cisco Talos has discovered a fairly uncommon piece of malware targeting Ukraine — this time aimed at a large software development company whose software is used in various state organizations within Ukraine.

Historia backdoora (napisanego w Go) zaczęła się w 2019 roku, kiedy to kod został opublikowany na GitHubie – od tego czasu – wg Cisco Talos – kod został użyty tylko w dwóch kampaniach realizowanych przez APT. Pierwsza – wykorzystująca lukę RCE w urządzeniach F5 BigIP (CVE-2020-5902) oraz RCE w firewallach Sophosa (CVE-2022-1040). Warto zaznaczyć, że autorzy tych ataków zmodyfikowali oryginalny kod na swoje potrzeby.

Nie ma wskazanego dokładnego sposobu wejścia malware do infekowanej organizacji. Powyżej były wskazane podatności stricte w urządzeniach brzegowych, ale równie możliwy jest klasyczny phishing. W każdym razie Talos wspomina o tym, że wykorzystywany jest mechanizm utworzenia zadania w Windows, które jest fałszywym alertem mówiącym o aktualizacjach.

Jeśli z kolei chodzi o utrzymanie dostępu po restarcie – malware wykorzystuje dość ciekawą technikę – nie dodaje pod Windows całkiem nowego wpisu do autorun, tylko analizuje jakie oprogramowanie uruchamia się automatycznie na zainfekowanej maszynie, a następnie podmienia stosowną binarkę. Jeśli więc monitorujemy tylko nowe wpisy do windowsowego autorun – nic nie znajdziemy.

Wracając do początku newsa i informacji o firmie ukraińskiej softwareowej, w której prawdopodobnie zlokalizowano malware – swego czasu w pewnym sensie ~podobny scenariusz wykorzystał już dość wiekowy ransomware ~Petya, gdzie zainfekowano aktualizację programu księgowego MeDoc, wykorzystywanego przez znaczną liczbę ukraińskich organizacji.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz