Multi-License Discount Quote
Trusseldatabase Malware GoGra bagdør

GoGra bagdør

Med Mezo i Malware, Backdoors
Oversæt til:
Dansk

I november 2023 blev en sydasiatisk medieorganisation målrettet ved at bruge en nyopdaget Go-baseret bagdør kendt som GoGra. Denne malware, skrevet i Go-programmeringssproget, udnytter Microsoft Graph API til at kommunikere med en Command-and-Control-server (C&C) hostet på Microsofts mailtjenester. Indtil videre er leveringsmetoden for GoGra til målmiljøerne ukendt. GoGra er især designet til at læse beskeder fra en Outlook-konto med brugernavnet 'FNU LNU', specifikt dem med emnelinjer, der begynder med 'Input'.

GoGra deler ligheder med tidligere afsløret malware

Beskedindholdet dekrypteres ved hjælp af AES-256-algoritmen i tilstanden Cipher Block Chaining (CBC) ved hjælp af en specifik nøgle. Efter dekryptering udføres kommandoerne via cmd.exe. Resultaterne krypteres derefter og sendes tilbage til den samme bruger med emnet 'Output'. GoGra menes at være udviklet af en nationalstats hackergruppe kendt som Harvester , på grund af dets ligheder med et brugerdefineret .NET-implantat kaldet Graphon , som også bruger Graph API til Command-and-Control (C&C) funktioner.

Trusselaktører udnytter i stigende grad legitime cloudtjenester

Trusselsaktører udnytter i stigende grad legitime cloud-tjenester til at forblive diskrete og undgå omkostningerne forbundet med dedikeret infrastruktur.

Fremtrædende eksempler på denne tendens omfatter:

  • Firefly : Et nyt dataeksfiltreringsværktøj brugt i et cyberangreb mod en militær organisation i Sydøstasien. De indsamlede data uploades til Google Drev ved hjælp af et hårdkodet opdateringstoken.
  • Grager : En ny bagdør blev opdaget i april 2024, rettet mod organisationer i Taiwan, Hong Kong og Vietnam. Den kommunikerer med en Command-and-Control-server (C&C) hostet på Microsoft OneDrive via Graph API. Denne aktivitet er foreløbigt forbundet med den formodede kinesiske trusselaktør kendt som UNC5330.
  • MoonTag : En bagdør med funktionalitet til interaktion med Graph API tilskrevet en kinesisktalende trusselsaktør.
  • Onedrivetools : En bagdør brugt mod IT-servicevirksomheder i USA og Europa. Den anvender Graph API til at kommunikere med en C&C-server på OneDrive, udføre kommandoer og gemme output til den samme platform.

Selvom det ikke er en ny teknik at bruge cloud-tjenester til kommando og kontrol, har dens anvendelse blandt angribere været stigende på det seneste.

Farerne ved bagdørsinfektioner

En bagdørs malware udgør betydelige farer for berørte organisationer eller brugere, herunder:

  • Uautoriseret adgang : Bagdøre giver angribere skjult adgang til systemer, hvilket giver dem mulighed for at omgå normale godkendelsesmekanismer. Denne uautoriserede adgang kan føre til kompromittering af følsomme data og kritiske systemer.
  • Datatyveri : Angribere kan bruge bagdøre til at udslette fortrolige oplysninger, herunder personlige data, intellektuel ejendom og økonomiske optegnelser. Disse indsamlede data kan bruges til identitetstyveri, virksomhedsspionage eller sælges på det mørke web.
  • Systemkontrol og manipulation : Når en bagdør er installeret, kan angribere få kontrol over berørte systemer. Denne kontrol giver dem mulighed for at udføre kommandoer, installere yderligere malware, ændre systemkonfigurationer eller manipulere data.
  • Netværkskompromis : Bagdøre letter ofte lateral bevægelse inden for et netværk. Angribere kan bruge et indledende kompromis til at bevæge sig sideværts på tværs af tilsluttede systemer, hvilket potentielt påvirker hele netværk og øger omfanget af deres angreb.
  • Afbrydelse af driften : Bagdørs-malware kan forstyrre normal forretningsdrift ved at forårsage systemfejl, slette eller kryptere kritiske filer eller føre til ydeevneproblemer. Dette kan resultere i driftsstop og økonomiske tab.
  • Spionage og overvågning : Bagdøre kan bruges til spionage, hvilket giver angribere mulighed for at overvåge og registrere brugeraktiviteter, kommunikation og interaktioner. Denne overvågning kan kompromittere privatlivets fred og føre til lækage af følsomme oplysninger.
  • Omdømmeskade : Tilstedeværelsen af bagdørs-malware kan skade en organisations gode navn, hvilket fører til tab af kundernes tillid og tillid. Dette kan have langsigtede effekter på forretningsforbindelser og markedsposition.
  • Regulatoriske og juridiske konsekvenser : Organisationer kan stå over for juridiske og regulatoriske konsekvenser, hvis de ikke kan beskytte følsomme data. Databrud, der involverer bagdør-malware, kan føre til bøder, juridiske handlinger og overholdelsesproblemer.

Sammenfattende udgør bagdør malware en mangefacetteret trussel, der kan kompromittere sikkerhed, privatliv og operationel integritet, hvilket gør det afgørende for organisationer og brugere at anvende robuste sikkerhedsforanstaltninger og forblive på vagt over for potentielle indtrængen.

Trending

Mest sete

Indlæser...