Multi-License Discount Quote
Databáze hrozeb Malware Zadní vrátka GoGra

Zadní vrátka GoGra

V roce Mezo v roce Malware, Backdoors
Přeložit do:
Čeština

V listopadu 2023 byla jihoasijská mediální organizace zaměřena pomocí nově objeveného backdooru založeného na Go známého jako GoGra. Tento malware, napsaný v programovacím jazyce Go, využívá Microsoft Graph API ke komunikaci se serverem Command-and-Control (C&C) hostovaným na poštovních službách společnosti Microsoft. Dosud zůstává způsob doručení GoGra do cílových prostředí neznámý. GoGra je navržena pro čtení zpráv z účtu Outlook s uživatelským jménem 'FNU LNU', konkrétně těch, jejichž předmět začíná na 'Input'.

GoGra sdílí podobnosti s dříve odhaleným malwarem

Obsah zprávy je dešifrován pomocí algoritmu AES-256 v režimu Cipher Block Chaining (CBC) pomocí specifického klíče. Po dešifrování se příkazy provádějí přes cmd.exe. Výsledky jsou poté zašifrovány a odeslány zpět stejnému uživateli s předmětem 'Výstup'. Předpokládá se, že GoGra vyvinula hackerská skupina národního státu známá jako Harvester , kvůli jeho podobnosti s vlastním implantátem .NET nazvaným Graphon , který také používá rozhraní Graph API pro funkce Command-and-Control (C&C).

Aktéři hrozeb stále více využívají legitimní cloudové služby

Aktéři hrozeb stále častěji využívají legitimní cloudové služby, aby zůstali diskrétní a vyhnuli se nákladům spojeným s vyhrazenou infrastrukturou.

Mezi prominentní příklady tohoto trendu patří:

  • Firefly : Nový nástroj pro exfiltraci dat použitý při kybernetickém útoku proti vojenské organizaci v jihovýchodní Asii. Shromážděná data se nahrávají na Disk Google pomocí pevně zakódovaného obnovovacího tokenu.
  • Grager : V dubnu 2024 byla objevena nová zadní vrátka zaměřená na organizace na Tchaj-wanu, Hongkongu a Vietnamu. Komunikuje se serverem Command-and-Control (C&C) hostovaným na Microsoft OneDrive prostřednictvím rozhraní Graph API. Tato aktivita je předběžně spojena s podezřelým čínským aktérem hrozby známým jako UNC5330.
  • MoonTag : Zadní vrátka s funkcí pro interakci s rozhraním Graph API přisuzovaná čínsky mluvícímu aktérovi hrozby.
  • Onedrivetools : Zadní vrátka proti společnostem poskytujícím IT služby v USA a Evropě. Využívá rozhraní Graph API ke komunikaci se serverem C&C na OneDrive, provádění příkazů a ukládání výstupu na stejnou platformu.

I když používání cloudových služeb pro velení a řízení není novou technikou, v poslední době se její přijetí mezi útočníky zvyšuje.

Nebezpečí infekcí zadními vrátky

Malware typu backdoor představuje pro postižené organizace nebo uživatele značná nebezpečí, včetně:

  • Neoprávněný přístup : Zadní vrátka poskytují útočníkům skrytý přístup k systémům a umožňují jim obejít běžné mechanismy ověřování. Tento neoprávněný přístup může vést ke kompromitaci citlivých dat a kritických systémů.
  • Krádež dat : Útočníci mohou využívat zadní vrátka k pronikání důvěrných informací, včetně osobních údajů, duševního vlastnictví a finančních záznamů. Tato získaná data lze použít ke krádeži identity, podnikové špionáži nebo k prodeji na temném webu.
  • Kontrola systému a manipulace : Jakmile je zadní vrátka nainstalována, útočníci mohou získat kontrolu nad postiženými systémy. Tato kontrola jim umožňuje spouštět příkazy, instalovat další malware, měnit konfiguraci systému nebo manipulovat s daty.
  • Kompromis sítě : Zadní vrátka často usnadňují boční pohyb v rámci sítě. Útočníci mohou použít počáteční kompromis k laterálnímu pohybu napříč propojenými systémy, potenciálně ovlivnit celé sítě a zvýšit rozsah jejich útoku.
  • Narušení operací : Malware Backdoor může narušit normální obchodní operace tím, že způsobí selhání systému, odstraní nebo zašifruje důležité soubory nebo povede k problémům s výkonem. To může mít za následek provozní výpadky a finanční ztráty.
  • Špionáž a sledování : Ke špionáži lze použít zadní vrátka, která útočníkům umožní sledovat a zaznamenávat aktivity uživatelů, komunikaci a interakce. Tento dohled může ohrozit soukromí a vést k úniku citlivých informací.
  • Poškození reputace : Přítomnost malwaru typu backdoor může poškodit dobré jméno organizace, což vede ke ztrátě důvěry a důvěry zákazníků. To může mít dlouhodobý dopad na obchodní vztahy a postavení na trhu.
  • Regulační a právní důsledky : Organizace mohou čelit právním a regulačním důsledkům, pokud nemohou chránit citlivá data. Porušení dat zahrnující malware typu backdoor může vést k pokutám, právním krokům a problémům s dodržováním předpisů.

Stručně řečeno, malware zadních vrátek představuje mnohostrannou hrozbu, která může ohrozit bezpečnost, soukromí a provozní integritu, a proto je pro organizace a uživatele nezbytné, aby zavedli robustní bezpečnostní opatření a byli ostražití vůči potenciálním průnikům.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
38,375
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...