Контакты
Подписка 2025
Новости
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Positive Technologies выявила новый бэкдор в арсенале активной в России группировки ExCobalt

06/06/24

PT-Jun-06-2024-03-28-31-6343-PM

Команда экспертного центра Positive Technologies (PT ESC) выявила ранее неизвестный бэкдор, написанный на языке Go. Он используется киберпреступной группировкой ExCobalt, атакующей российские организации.

«В марте в ходе расследования инцидента мы обнаружили файл с названием scrond, сжатый с помощью упаковщика UPX (Ultimate Packer for eXecutables), на одном из Linux-узлов клиента,  говорит Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — В данных распакованного семпла, написанного на языке Go, были найдены пути пакетов, содержащие подстроку red.team/go-red/. Это позволило нам предположить, что семпл является проприетарным инструментом GoRed. В процессе анализа GoRed мы обнаружили, что несколько версий программы уже встречали ранее во время реагирования на инциденты у ряда клиентов».

Дальнейший анализ инструмента позволил специалистам компании установить его связь с группировкой ExCobalt, об атаках которой в PT ESC рассказывали в ноябре прошлого года.

ExCobalt известна атаками на российские компании в сферах металлургии, телекоммуникаций, горной промышленности, ИТ и госсектора. Она также занимается кибершпионажем и кражей данных.

Новый бэкдор, названный в PT ESC по имени изначально обнаруженного семпла GoRed, имеет множество функций, включая удаленное выполнение команд, сбор данных из скомпрометированных систем и использование различных методов коммуникации с C2-серверами.

Исследование Positive Technologies показывает, что группировка ExCobalt продолжает активно атаковать российские компании, постоянно улучшая свои методы и инструменты, включая бэкдор GoRed. Злоумышленники расширяют функциональность GoRed для более сложных и скрытных атак и кибершпионажа. Участники ExCobalt демонстрируют гибкость, используя модифицированные инструменты для обхода защитных мер, что указывает на их глубокое понимание уязвимостей в инфраструктуре компаний. В целом развитие ExCobalt подчеркивает необходимость постоянного совершенствования методов защиты и обнаружения атак для противодействия таким киберугрозам.

Полную версию отчета можно прочитать в блоге команды PT ESC.
Темы:Пресс-релизPositive TechnologiesУгрозыбэкдоры
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Щедрость владельцев инфраструктуры не победить! Часть 3
    Денис Гойденко, руководитель PT ESC IR, Positive Technologies
    Киберинциденты – это не всегда про громкие утечки, сложные APT-группировки и технологии будущего. Иногда это про человеческие ошибки, странные управленческие решения и неожиданные повороты, которые могли бы стать отличным сюжетом для комедии, если бы не реальные последствия.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • Зачем SIEM-системе машинное обучение: реальные сценарии использования
    Почему хорошая SIEM не может обойтись без машинного обучения? Какие модели уже применяются в реальных продуктах? И что ждет этот симбиоз в будущем?
  • Управление уязвимостями в 2024 году: что изменилось и как перестроить процесс
    Павел Попов, лидер продуктовой практики MaxPatrol VM, Positive Technologies
    В условиях всплеска числа кибератак, ухода зарубежных вендоров, импортозамещения ПО и обновления нормативно-правовой базы у процесса управления уязвимостями в России есть ряд важных особенностей
  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • SIEM: рекомендательный инструмент для результативной кибербезопасности
    Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
    SIEM из экспертного инструмента в руках высококвалифицированных специалистов становятся ядром построения результативной кибербезопасности. Для этого они должны научиться выдавать оператору рекомендации на каждом этапе эксплуатации, транслировать заложенную в них экспертизу.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"