Porta del darrere de GoGra

El novembre de 2023, una organització de mitjans de comunicació del sud d'Àsia va ser atacada mitjançant una porta posterior basada en Go recentment descoberta coneguda com a GoGra. Aquest programari maliciós, escrit en el llenguatge de programació Go, aprofita l'API de Microsoft Graph per comunicar-se amb un servidor d'ordres i control (C&C) allotjat als serveis de correu de Microsoft. Fins ara, el mètode de lliurament de GoGra als entorns objectiu segueix sent desconegut. En particular, GoGra està dissenyat per llegir missatges des d'un compte d'Outlook amb el nom d'usuari "FNU LNU", concretament aquells amb línies d'assumpte que comencen per "Entrada".

GoGra comparteix similituds amb programari maliciós descobert anteriorment

El contingut del missatge es desxifra mitjançant l'algorisme AES-256 en mode d'encadenament de blocs de xifrat (CBC) mitjançant una clau específica. Després del desxifrat, les ordres s'executen mitjançant cmd.exe. Els resultats es xifren i s'envien al mateix usuari amb l'assumpte "Sortida". Es creu que GoGra va ser desenvolupat per un grup de pirateria de l'estat nacional conegut com Harvester , a causa de les seves similituds amb un implant .NET personalitzat anomenat Graphon , que també utilitza l'API Graph per a funcions de comandament i control (C&C).

Els actors d'amenaça exploten cada cop més els serveis en núvol legítims

Els actors de l'amenaça utilitzen cada cop més serveis legítims al núvol per mantenir-se discrets i evitar els costos associats a la infraestructura dedicada.

Exemples destacats d'aquesta tendència inclouen:

• Firefly : una nova eina d'exfiltració de dades utilitzada en un ciberatac contra una organització militar al sud-est asiàtic. Les dades recollides es pengen a Google Drive mitjançant un testimoni d'actualització codificat en dur.
• Grager : l'abril de 2024 es va descobrir una nova porta del darrere, dirigida a organitzacions de Taiwan, Hong Kong i Vietnam. Es comunica amb un servidor d'ordres i control (C&C) allotjat a Microsoft OneDrive mitjançant l'API Graph. Aquesta activitat està relacionada provisionalment amb el presumpte actor d'amenaça xinès conegut com UNC5330.
• MoonTag : una porta posterior amb funcionalitat per interactuar amb l'API Graph atribuïda a un actor d'amenaces de parla xinès.
• Onedrivetools : una porta posterior utilitzada contra empreses de serveis informàtics als EUA i Europa. Utilitza l'API Graph per comunicar-se amb un servidor C&C a OneDrive, executant ordres i desant la sortida a la mateixa plataforma.

Tot i que l'ús de serveis al núvol per a Comandament i Control no és una tècnica nova, la seva adopció entre els atacants ha augmentat recentment.

Els perills de les infeccions de la porta del darrere

Un programari maliciós de porta posterior suposa perills importants per a les organitzacions o usuaris afectats, com ara:

• Accés no autoritzat : les portes del darrere proporcionen als atacants accés ocult als sistemes, cosa que els permet evitar els mecanismes d'autenticació normals. Aquest accés no autoritzat pot comportar el compromís de dades sensibles i sistemes crítics.
• Robatori de dades : els atacants poden utilitzar les portes del darrere per exfiltrar informació confidencial, incloses dades personals, propietat intel·lectual i registres financers. Aquestes dades recopilades es poden utilitzar per robar identitat, espionatge corporatiu o vendre a la web fosca.
• Control i manipulació del sistema : un cop instal·lada una porta posterior, els atacants poden controlar els sistemes afectats. Aquest control els permet executar ordres, instal·lar programari maliciós addicional, alterar configuracions del sistema o manipular dades.
• Compromís de la xarxa : les portes posteriors sovint faciliten el moviment lateral dins d'una xarxa. Els atacants poden utilitzar un compromís inicial per moure's lateralment a través dels sistemes connectats, afectant potencialment xarxes senceres i augmentant l'abast del seu atac.
• Interrupció de les operacions : el programari maliciós de la porta posterior pot interrompre les operacions comercials normals causant errors del sistema, suprimint o xifrant fitxers crítics o provocant problemes de rendiment. Això pot provocar temps d'inactivitat i pèrdues financeres.
• Espionatge i vigilància : les portes del darrere es poden utilitzar per a l'espionatge, la qual cosa permet als atacants supervisar i registrar les activitats, comunicacions i interaccions dels usuaris. Aquesta vigilància pot comprometre la privadesa i provocar la filtració d'informació sensible.
• Danys a la reputació : la presència de programari maliciós de porta posterior pot danyar el bon nom d'una organització, provocant la pèrdua de confiança i confiança dels clients. Això pot tenir efectes a llarg termini en les relacions comercials i la posició en el mercat.
• Conseqüències normatives i legals : les organitzacions poden enfrontar-se a conseqüències legals i reglamentàries si no poden protegir les dades sensibles. Les infraccions de dades que impliquen programari maliciós de porta posterior poden comportar multes, accions legals i problemes de compliment.

En resum, el programari maliciós de la porta posterior presenta una amenaça multifacètica que pot comprometre la seguretat, la privadesa i la integritat operativa, per la qual cosa és essencial que les organitzacions i els usuaris utilitzen mesures de seguretat sòlides i es mantinguin vigilants contra possibles intrusions.