GoSerpent backdoor

Editors' Pick

A Kaspersky jelentése szerint a GoSerpent backdoor-t délkelet-ázsiai szervezetek – elsősorban kormányzati és távközlési célpontok – elleni célzott kibertámadásokban alkalmazzák. A malware teljes egészében Golang nyelven készült, ami megkönnyíti a több platformra történő fordítást és megnehezíti a statikus elemzést. A fertőzési lánc során a támadók legitim alkalmazásokkal együtt telepítik a kártevőt, majd DLL side-loading technikával indítják el, így a rosszindulatú kód megbízható folyamat részeként fut. 

A GoSerpent perzisztenciát alakít ki, összegyűjti a rendszerinformációkat, majd titkosított kapcsolaton keresztül kommunikál a vezérlőszerverrel, ahonnan további parancsokat és modulokat fogad. A támogatott funkciók közé tartozik a fájlkezelés, a könyvtárak bejárása, a parancsvégrehajtás, valamint további komponensek letöltése és futtatása.

A Kaspersky a kampányt közepes vagy magas technikai felkészültségű kiberkémkedő szereplőhöz köti. A GoSerpent nem tömeges fertőzésekre készült, hanem hosszú távú, rejtett hozzáférés fenntartására. A kártevő kis méretű, moduláris felépítésű, és a Go nyelv sajátosságait kihasználva nehezebben elemezhető, mint a hagyományos C/C++ alapú implantátumok. A Golang mára az állami hátterű és célzott támadások egyik legkedveltebb fejlesztési platformjává vált, mivel egyszerre biztosít platformfüggetlenséget, egyszerű fejlesztést és a védekezési megoldások számára nehezebben feldolgozható binárisokat.

FORRÁS