Le paysage de la cybersécurité en Russie est de nouveau sous la menace avec l’émergence de GoRed, un backdoor sophistiqué développé en Golang par le groupe cybercriminel ExCobalt. Originellement liés à la tristement célèbre Cobalt Gang, spécialisée dans les attaques contre les institutions financières, les acteurs d’ExCobalt semblent avoir désormais étendu leur cible à divers secteurs vitaux en Russie.
Analyse approfondie de l’attaque par ExCobalt
Profil du cyber-groupe ExCobalt
D’après une étude technique publiée cette semaine par les chercheurs Vladislav Lunin et Alexander Badayev de Positive Technologies, ExCobalt se concentre principalement sur l’espionnage en ligne. Le groupe serait actif depuis 2016 et inclurait divers membres de la précédente Cobalt Gang. Ces derniers ont commencé à utiliser l’outil CobInt en 2022, bien connu pour ses précédentes attaques ciblant des institutions financières afin de détourner des fonds.
Méthodes d’infiltration et outils utilisés
Les attaques visant des entreprises russes ont été observées à travers différents secteurs tels que le gouvernement, la technologie de l’information, la métallurgie, les mines, le développement logiciel et les télécommunications. L’accès initial dans les réseaux ciblés est souvent réalisé par l’exploitation d’un sous-traitant déjà compromis ou via une attaque de la chaîne d’approvisionnement, révélant un niveau élevé de sophistication. ExCobalt utilise des outils variés comme Metasploit, Mimikatz, ProcDump, SMBExec et Spark RAT pour exécuter des commandes sur les hôtes infectés, et divers exploits d’élévation de privilèges Linux.
Description technique du backdoor GoRed
Capacités et communication de GoRed
GoRed permet aux opérateurs de commander à distance, de collecter des identifiants, et de surveiller les processus actifs, les interfaces réseau et les systèmes de fichiers. Il communique avec son serveur C2 (Command and Control) via le protocole d’appel de procédure à distance (RPC). Depuis sa création, GoRed a connu de nombreuses itérations, chacune ajoutant de nouvelles fonctionnalités et augmentant sa capacité à se camoufler dans les infrastructures infectées.
Fonctions avancées et exportation de données
GoRed prend également en charge des commandes de surveillance en arrière-plan pour détecter des fichiers ou des mots de passe spécifiques, tout en permettant l’activation d’une coquille inversée. Les données récoltées sont ensuite envoyées vers une infrastructure contrôlée par les attaquants. Les chercheurs soulignent que ExCobalt continue de démontrer une grande activité et persévérance, intégrant régulièrement de nouveaux outils à son arsenal et affinant ses techniques. Ils adaptent également leur ensemble d’outils avec des utilitaires standard modifiés pour mieux échapper aux contrôles de sécurité.
À CyberCare, nous sommes vigilants face à des menaces telles que celles posées par ExCobalt et nous offrons des solutions de cybersécurité adaptées pour protéger votre entreprise contre des attaques sophistiquées et ciblées analogues à celles menées par GoRed.