Home IT Sicherheits Updates Hacker greifen ein ukrainisches Softwareunternehmen mit GoMet Backdoor an

Hacker greifen ein ukrainisches Softwareunternehmen mit GoMet Backdoor an

by nwna_de

Eine große Softwareentwicklungsfirma, deren Software von verschiedenen staatlichen Stellen in der Ukraine verwendet wird, wurde Opfer einer „ungewöhnlichen“ Malware, wie neue Untersuchungen ergeben haben.

Die Malware, die erstmals am Morgen des 19. Mai 2022 beobachtet wurde, ist eine benutzerdefinierte Variante der Open-Source-Hintertür, bekannt als GoMet und wurde entwickelt, um den ständigen Zugriff auf das Netzwerk aufrechtzuerhalten.

„Dieser Zugriff könnte auf vielfältige Weise genutzt werden, einschließlich eines tieferen Zugriffs oder um zusätzliche Angriffe zu starten, einschließlich des Potenzials für eine Kompromittierung der Softwarelieferkette“, Cisco Talos sagte in einem Bericht, der mit The Hacker News geteilt wurde.

Internet-Sicherheit

Obwohl es keine konkreten Hinweise gibt, die den Angriff mit einem einzelnen Akteur oder einer Gruppe in Verbindung bringen, deutet die Einschätzung der Cybersicherheitsfirma auf Aktivitäten des russischen Nationalstaats hin.

Die öffentliche Berichterstattung über die Verwendung von GoMet bei realen Angriffen hat bisher nur zwei dokumentierte Fälle aufgedeckt: einen im Jahr 2020, der mit der Offenlegung von CVE-2020-5902 zusammenfiel, einem kritischen Fehler bei der Remote-Code-Ausführung im BIG-IP-Netzwerk von F5 Geräte.

Der zweite Vorfall beinhaltete Anfang des Jahres die erfolgreiche Ausnutzung von CVE-2022-1040, einer Schwachstelle zur Remotecodeausführung in der Sophos Firewall, durch eine namenlose APT-Gruppe (Advanced Persistent Threat).

„Wir haben GoMet nicht in anderen Organisationen eingesetzt gesehen, mit denen wir eng zusammengearbeitet und die wir überwacht haben, was impliziert, dass es in irgendeiner Weise zielgerichtet ist, aber gegen zusätzliche Ziele eingesetzt werden könnte, für die wir keinen Einblick haben“, Nick Biasini, Head of Outreach für Cisco Talos, gegenüber The Hacker News.

„Wir haben auch eine relativ rigorose historische Analyse durchgeführt und sehen in der Vergangenheit sehr wenig Verwendung von GoMet, was weiter darauf hindeutet, dass es auf sehr gezielte Weise verwendet wird.“

GoMet ist, wie der Name schon sagt, in Go geschrieben und verfügt über Funktionen, die es dem Angreifer ermöglichen, das kompromittierte System aus der Ferne zu kommandieren, einschließlich des Hoch- und Herunterladens von Dateien, des Ausführens beliebiger Befehle und der Nutzung des anfänglichen Standbeins, um sich über What’s auf andere Netzwerke und Systeme auszubreiten genannt Daisy-Chain.

Internet-Sicherheit

Ein weiteres bemerkenswertes Merkmal des Implantats ist seine Fähigkeit, geplante Jobs mit auszuführen Cron. Während der ursprüngliche Code so konfiguriert ist, dass Cron-Jobs einmal pro Stunde ausgeführt werden, ist die modifizierte Version der beim Angriff verwendeten Backdoor so aufgebaut, dass sie alle zwei Sekunden ausgeführt wird und feststellt, ob die Malware mit einem Command-and-Control-Server verbunden ist.

„Die Mehrzahl der Angriffe, die wir in letzter Zeit gesehen haben, beziehen sich auf den Zugriff, entweder direkt oder durch den Erwerb von Anmeldeinformationen“, sagte Biasini. „Dies ist ein weiteres Beispiel dafür, dass GoMet als Hintertür eingesetzt wird.“

„Sobald der Zugang hergestellt ist, können weitere Erkundungen und gründlichere Operationen folgen. Wir arbeiten daran, die Angriffe zu töten, bevor sie dieses Stadium erreichen, daher ist es schwierig, die Art der Folgeangriffe vorherzusagen.“

Die Erkenntnisse kommen als US Cyber ​​Command am Mittwoch geteilt die Indikatoren für Kompromittierung (IoCs) in Bezug auf verschiedene Arten von Malware wie GrimPlant, GraphSteel, Cobalt Strike Beacon und MicroBackdoor, die in den letzten Monaten auf ukrainische Netzwerke abzielten.

Die Cybersicherheitsfirma Mandiant hat seitdem zugeschrieben die Phishing-Angriffe auf zwei Spionageakteure, die als UNC1151 (alias Ghostwriter) und UNC2589 verfolgt werden, von denen letzterer im Verdacht steht, „zur Unterstützung der Interessen der russischen Regierung zu handeln und umfangreiche Spionagesammlungen in der Ukraine durchgeführt hat“.

Es wird auch angenommen, dass der nicht kategorisierte Bedrohungscluster UNC2589 hinter den Data Wiper-Angriffen von WhisperGate (aka PAYWIPE) Mitte Januar 2022 steckt. Microsoft, das dieselbe Gruppe unter dem Namen DEV-0586 verfolgt, hat sie als mit Russlands GRU verbunden bewertet Militärische Intelligenz.

Via HN