【安全资讯】ExCobalt网络犯罪组织针对俄罗斯多个行业机构发动攻击

概要：

网络犯罪组织ExCobalt利用一种名为GoRed的未知后门，对俄罗斯多个行业的机构发起攻击。Positive Technologies研究人员报告称，一名名为ExCobalt的网络犯罪团伙利用一种基于Golang的未知后门GoRed，攻击了俄罗斯多个行业的机构。ExCobalt团伙成员至少自2016年以来活跃，研究人员认为该团伙与臭名昭著的Cobalt团伙有关。

主要内容：

ExCobalt利用GoRed后门支持多项功能，使操作人员能够连接并执行命令，类似于Cobalt Strike或Sliver等其他C2框架。攻击采用RPC协议进行GoRed与其C2服务器之间的通信。为了实现安全通信，操作人员使用DNS/ICMP隧道、WSS和QUIC协议。ExCobalt通过利用之前感染的承包商获得对目标实体的初步访问。该团伙通过感染用于构建目标公司合法软件的组件来进行供应链攻击。ExCobalt利用Spark RAT执行命令，攻击链条中的工具包括Mimikatz、ProcDump、SMBExec、Metasploit和rsocx。该团伙利用以下漏洞进行提权：CVE-2022-2586、CVE-2021-3156、CVE-2021-4034、CVE-2019-13272、CVE-2022-27228、CVE-2021-44228、CVE-2021-40438、CVE-2023-3519、BDU:2023-05857和CVE-2019-12725。报告总结称，ExCobalt继续在攻击俄罗斯公司中表现出高度的活跃性和决心，不仅开发新的攻击方法，还积极改进现有工具，如GoRed后门。该团伙显然在追求更复杂和高效的黑客和网络间谍方法，GoRed不断增加新功能和特性，包括扩展的收集受害者数据功能和在感染系统内部及与C2服务器通信中的加密保密性。