🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As instituições governamentais da Mongólia emergiram como alvo de um grupo de ameaças persistentes avançadas (APT), anteriormente não documentado, alinhado com a China, conhecido como GopherWhisper.
“O grupo possui uma ampla gama de ferramentas escritas principalmente em Go, usando injetores e carregadores para implantar e executar vários backdoors em seu arsenal”, disse a empresa eslovaca de segurança cibernética ESET em um relatório compartilhado com o The Hacker News. "GopherWhisper abusa de serviços legítimos, principalmente Discord, Slack, Microsoft 365 Outlook e file.io para comunicação e exfiltração de comando e controle (C&C)."
O grupo foi descoberto pela primeira vez em janeiro de 2025, após a descoberta de um backdoor nunca antes visto, de codinome LaxGopher, em um sistema pertencente a uma entidade governamental da Mongólia. Também foram descobertas como parte do arsenal do agente da ameaça uma série de outras famílias de malware, em sua maioria desenvolvidas usando Golang para receber instruções do servidor C&C, executá-las e enviar os resultados de volta.
Também é usada pelo agente da ameaça uma ferramenta de coleta de arquivos para coletar arquivos de interesse e exfiltrá-los em formato compactado para o serviço de compartilhamento de arquivos file[.]io e um backdoor C++ que oferece controle remoto sobre hosts comprometidos.
Os dados de telemetria da ESET mostram que cerca de 12 sistemas associados à instituição governamental da Mongólia foram infectados pelos backdoors, com o tráfego C&C dos servidores Discord e Slack controlados pelo invasor indicando dezenas de outras vítimas.
Atualmente não se sabe exatamente como o GopherWhisper obtém acesso inicial às redes alvo. Mas um ponto de apoio bem-sucedido é seguido por tentativas de implantar uma ampla gama de ferramentas e implantes -
JabGopher, um injetor que executa o backdoor LaxGopher ("whisper.dll").
LaxGopher, um backdoor baseado em Go que usa Slack for C2 para executar comandos via “cmd.exe” e publicar os resultados de volta no canal Slack, bem como baixar malware adicional.
CompactGopher, um utilitário de coleta de arquivos baseado em Go lançado pelo LaxGopher para filtrar arquivos de interesse por extensões (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt e .pptx.), compacte-os em arquivos ZIP, criptografe os arquivos usando AES-CFB-128 e exfiltre-os para o arquivo [.] io.
RatGopher, um backdoor baseado em Go que usa um servidor Discord privado para receber mensagens C&C, executar comandos e publicar os resultados de volta no canal Discord configurado, bem como fazer upload e download de arquivos do arquivo[.]io.
SSLORDoor, um backdoor baseado em C++ que usa OpenSSL BIO para comunicação por meio de soquetes brutos na porta 443 para enumerar unidades, executar operações de arquivo e executar comandos com base na entrada C&C via "cmd.exe".
FriendDelivery, uma DLL maliciosa que serve como carregador e injetor para BoxOfFriends.
BoxOfFriends, um backdoor baseado em Go que usa a API Microsoft Graph para criar rascunhos de e-mails para C2 usando credenciais codificadas, com a primeira conta do Outlook criada para essa finalidade ("barrantaya.1010@outlook[.]com") criada em 11 de julho de 2024.
“A inspeção do carimbo de data/hora das mensagens do Slack e do Discord nos mostrou que a maior parte delas estava sendo enviada durante o horário comercial, ou seja, entre 8h e 17h, o que se alinha com o horário padrão da China”, disse o pesquisador da ESET Eric Howard. “Além disso, a localidade do usuário configurado nos metadados do Slack também foi definida para este fuso horário. Portanto, acreditamos que GopherWhisper é um grupo alinhado à China.”
“O grupo possui uma ampla gama de ferramentas escritas principalmente em Go, usando injetores e carregadores para implantar e executar vários backdoors em seu arsenal”, disse a empresa eslovaca de segurança cibernética ESET em um relatório compartilhado com o The Hacker News. "GopherWhisper abusa de serviços legítimos, principalmente Discord, Slack, Microsoft 365 Outlook e file.io para comunicação e exfiltração de comando e controle (C&C)."
O grupo foi descoberto pela primeira vez em janeiro de 2025, após a descoberta de um backdoor nunca antes visto, de codinome LaxGopher, em um sistema pertencente a uma entidade governamental da Mongólia. Também foram descobertas como parte do arsenal do agente da ameaça uma série de outras famílias de malware, em sua maioria desenvolvidas usando Golang para receber instruções do servidor C&C, executá-las e enviar os resultados de volta.
Também é usada pelo agente da ameaça uma ferramenta de coleta de arquivos para coletar arquivos de interesse e exfiltrá-los em formato compactado para o serviço de compartilhamento de arquivos file[.]io e um backdoor C++ que oferece controle remoto sobre hosts comprometidos.
Os dados de telemetria da ESET mostram que cerca de 12 sistemas associados à instituição governamental da Mongólia foram infectados pelos backdoors, com o tráfego C&C dos servidores Discord e Slack controlados pelo invasor indicando dezenas de outras vítimas.
Atualmente não se sabe exatamente como o GopherWhisper obtém acesso inicial às redes alvo. Mas um ponto de apoio bem-sucedido é seguido por tentativas de implantar uma ampla gama de ferramentas e implantes -
JabGopher, um injetor que executa o backdoor LaxGopher ("whisper.dll").
LaxGopher, um backdoor baseado em Go que usa Slack for C2 para executar comandos via “cmd.exe” e publicar os resultados de volta no canal Slack, bem como baixar malware adicional.
CompactGopher, um utilitário de coleta de arquivos baseado em Go lançado pelo LaxGopher para filtrar arquivos de interesse por extensões (.doc, .docx, .jpg, .xls, .xlsx, .txt, .pdf, .ppt e .pptx.), compacte-os em arquivos ZIP, criptografe os arquivos usando AES-CFB-128 e exfiltre-os para o arquivo [.] io.
RatGopher, um backdoor baseado em Go que usa um servidor Discord privado para receber mensagens C&C, executar comandos e publicar os resultados de volta no canal Discord configurado, bem como fazer upload e download de arquivos do arquivo[.]io.
SSLORDoor, um backdoor baseado em C++ que usa OpenSSL BIO para comunicação por meio de soquetes brutos na porta 443 para enumerar unidades, executar operações de arquivo e executar comandos com base na entrada C&C via "cmd.exe".
FriendDelivery, uma DLL maliciosa que serve como carregador e injetor para BoxOfFriends.
BoxOfFriends, um backdoor baseado em Go que usa a API Microsoft Graph para criar rascunhos de e-mails para C2 usando credenciais codificadas, com a primeira conta do Outlook criada para essa finalidade ("barrantaya.1010@outlook[.]com") criada em 11 de julho de 2024.
“A inspeção do carimbo de data/hora das mensagens do Slack e do Discord nos mostrou que a maior parte delas estava sendo enviada durante o horário comercial, ou seja, entre 8h e 17h, o que se alinha com o horário padrão da China”, disse o pesquisador da ESET Eric Howard. “Além disso, a localidade do usuário configurado nos metadados do Slack também foi definida para este fuso horário. Portanto, acreditamos que GopherWhisper é um grupo alinhado à China.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #gopherwhisper, #ligado #à #china, #infecta #12 #sistemas #governamentais #da #mongólia #com #go #backdoors
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário