Multi-License Discount Quote
Βάση δεδομένων απειλών Malware GoGra Backdoor

GoGra Backdoor

Μέχρι το Mezo το Malware, Backdoors
Μετάφραση σε:
Ελληνικά

Τον Νοέμβριο του 2023, ένας οργανισμός μέσων ενημέρωσης της Νότιας Ασίας στοχοποιήθηκε χρησιμοποιώντας μια κερκόπορτα που ανακαλύφθηκε πρόσφατα με βάση το Go, γνωστή ως GoGra. Αυτό το κακόβουλο λογισμικό, γραμμένο στη γλώσσα προγραμματισμού Go, αξιοποιεί το Microsoft Graph API για επικοινωνία με έναν διακομιστή Command-and-Control (C&C) που φιλοξενείται σε υπηρεσίες αλληλογραφίας της Microsoft. Μέχρι στιγμής, η μέθοδος παράδοσης του GoGra στα περιβάλλοντα στόχο παραμένει άγνωστη. Συγκεκριμένα, το GoGra έχει σχεδιαστεί για να διαβάζει μηνύματα από έναν λογαριασμό Outlook με το όνομα χρήστη «FNU LNU», ειδικά εκείνων με γραμμές θέματος που αρχίζουν με «Είσοδος».

Το GoGra μοιράζεται ομοιότητες με κακόβουλο λογισμικό που είχε αποκαλυφθεί στο παρελθόν

Τα περιεχόμενα του μηνύματος αποκρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο AES-256 σε λειτουργία Αλυσίδας Αποκλεισμού κρυπτογράφησης (CBC) χρησιμοποιώντας ένα συγκεκριμένο κλειδί. Μετά την αποκρυπτογράφηση, οι εντολές εκτελούνται μέσω cmd.exe. Στη συνέχεια, τα αποτελέσματα κρυπτογραφούνται και αποστέλλονται στον ίδιο χρήστη με το θέμα «Έξοδος». Το GoGra πιστεύεται ότι αναπτύχθηκε από μια ομάδα χάκερ εθνικού κράτους γνωστή ως Harvester , λόγω των ομοιοτήτων της με ένα προσαρμοσμένο εμφύτευμα .NET που ονομάζεται Graphon , το οποίο χρησιμοποιεί επίσης το Graph API για λειτουργίες Command-and-Control (C&C).

Οι ηθοποιοί απειλών εκμεταλλεύονται ολοένα και περισσότερο νόμιμες υπηρεσίες Cloud

Οι φορείς απειλών εκμεταλλεύονται όλο και περισσότερο τις νόμιμες υπηρεσίες cloud για να παραμείνουν διακριτικοί και να αποφύγουν το κόστος που σχετίζεται με την αποκλειστική υποδομή.

Σημαντικά παραδείγματα αυτής της τάσης περιλαμβάνουν:

  • Firefly : Ένα νέο εργαλείο διήθησης δεδομένων που χρησιμοποιείται σε μια κυβερνοεπίθεση εναντίον στρατιωτικού οργανισμού στη Νοτιοανατολική Ασία. Τα συγκεντρωμένα δεδομένα μεταφορτώνονται στο Google Drive χρησιμοποιώντας ένα διακριτικό ανανέωσης με σκληρό κώδικα.
  • Grager : Μια νέα κερκόπορτα ανακαλύφθηκε τον Απρίλιο του 2024, με στόχο οργανώσεις στην Ταϊβάν, το Χονγκ Κονγκ και το Βιετνάμ. Επικοινωνεί με έναν διακομιστή Command-and-Control (C&C) που φιλοξενείται στο Microsoft OneDrive μέσω του Graph API. Αυτή η δραστηριότητα συνδέεται προσωρινά με τον ύποπτο κινεζικό παράγοντα απειλής γνωστό ως UNC5330.
  • MoonTag : Μια κερκόπορτα με λειτουργικότητα για αλληλεπίδραση με το Graph API που αποδίδεται σε έναν κινεζόφωνο παράγοντα απειλών.
  • Onedrivetools : Μια κερκόπορτα που χρησιμοποιείται ενάντια σε εταιρείες υπηρεσιών πληροφορικής στις ΗΠΑ και την Ευρώπη. Χρησιμοποιεί το Graph API για την επικοινωνία με έναν διακομιστή C&C στο OneDrive, εκτελώντας εντολές και αποθηκεύοντας την έξοδο στην ίδια πλατφόρμα.

Ενώ η χρήση υπηρεσιών cloud για Command and Control δεν είναι νέα τεχνική, η υιοθέτησή της μεταξύ των εισβολέων έχει αυξηθεί πρόσφατα.

Οι κίνδυνοι των λοιμώξεων της κερκόπορτας

Ένα κακόβουλο λογισμικό backdoor ενέχει σημαντικούς κινδύνους για οργανισμούς ή χρήστες που επηρεάζονται, όπως:

  • Μη εξουσιοδοτημένη πρόσβαση : Οι κερκόπορτες παρέχουν στους εισβολείς κρυφή πρόσβαση στα συστήματα, επιτρέποντάς τους να παρακάμψουν τους κανονικούς μηχανισμούς ελέγχου ταυτότητας. Αυτή η μη εξουσιοδοτημένη πρόσβαση μπορεί να οδηγήσει σε παραβίαση ευαίσθητων δεδομένων και κρίσιμων συστημάτων.
  • Κλοπή δεδομένων : Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν κερκόπορτες για να διεισδύσουν εμπιστευτικές πληροφορίες, συμπεριλαμβανομένων προσωπικών δεδομένων, πνευματικής ιδιοκτησίας και οικονομικών αρχείων. Αυτά τα δεδομένα που συλλέγονται μπορούν να χρησιμοποιηθούν για κλοπή ταυτότητας, εταιρική κατασκοπεία ή πώληση στο σκοτεινό Ιστό.
  • Έλεγχος και χειρισμός συστήματος : Μόλις εγκατασταθεί μια κερκόπορτα, οι εισβολείς μπορούν να αποκτήσουν τον έλεγχο των επηρεαζόμενων συστημάτων. Αυτός ο έλεγχος τους επιτρέπει να εκτελούν εντολές, να εγκαταστήσουν πρόσθετο κακόβουλο λογισμικό, να αλλάζουν διαμορφώσεις συστήματος ή να χειρίζονται δεδομένα.
  • Συμβιβασμός δικτύου : Οι κερκόπορτες συχνά διευκολύνουν την πλευρική κίνηση μέσα σε ένα δίκτυο. Οι εισβολείς μπορούν να χρησιμοποιήσουν έναν αρχικό συμβιβασμό για να μετακινηθούν πλευρικά στα συνδεδεμένα συστήματα, επηρεάζοντας ενδεχομένως ολόκληρα δίκτυα και αυξάνοντας το εύρος της επίθεσής τους.
  • Διακοπή λειτουργιών : Το κακόβουλο λογισμικό Backdoor μπορεί να διαταράξει τις κανονικές επιχειρηματικές λειτουργίες προκαλώντας αποτυχίες του συστήματος, διαγράφοντας ή κρυπτογραφώντας κρίσιμα αρχεία ή οδηγώντας σε προβλήματα απόδοσης. Αυτό μπορεί να οδηγήσει σε διακοπές λειτουργίας και οικονομικές απώλειες.
  • Κατασκοπεία και επιτήρηση : Οι κερκόπορτες μπορούν να χρησιμοποιηθούν για κατασκοπεία, επιτρέποντας στους εισβολείς να παρακολουθούν και να καταγράφουν τις δραστηριότητες, τις επικοινωνίες και τις αλληλεπιδράσεις των χρηστών. Αυτή η επιτήρηση μπορεί να θέσει σε κίνδυνο το απόρρητο και να οδηγήσει σε διαρροή ευαίσθητων πληροφοριών.
  • Ζημιά στη φήμη : Η παρουσία κακόβουλου λογισμικού backdoor μπορεί να βλάψει το καλό όνομα ενός οργανισμού, οδηγώντας σε απώλεια της εμπιστοσύνης και της εμπιστοσύνης των πελατών. Αυτό μπορεί να έχει μακροπρόθεσμες επιπτώσεις στις επιχειρηματικές σχέσεις και τη θέση στην αγορά.
  • Ρυθμιστικές και νομικές συνέπειες : Οι οργανισμοί ενδέχεται να αντιμετωπίσουν νομικές και ρυθμιστικές συνέπειες εάν δεν μπορούν να προστατεύσουν ευαίσθητα δεδομένα. Οι παραβιάσεις δεδομένων που αφορούν κακόβουλο λογισμικό backdoor μπορεί να οδηγήσουν σε πρόστιμα, νομικές ενέργειες και ζητήματα συμμόρφωσης.

Συνοπτικά, το κακόβουλο λογισμικό backdoor παρουσιάζει μια πολύπλευρη απειλή που μπορεί να θέσει σε κίνδυνο την ασφάλεια, το απόρρητο και τη λειτουργική ακεραιότητα, καθιστώντας απαραίτητο για τους οργανισμούς και τους χρήστες να χρησιμοποιούν ισχυρά μέτρα ασφαλείας και να παραμένουν σε επαγρύπνηση έναντι πιθανών εισβολών.

Τάσεις

LYRA Early Adopter Scam

Phishing, Spam
Το LYRA Early Adopter Scam είναι ένα παραπλανητικό σχέδιο όπου οι απατεώνες έχουν δημιουργήσει ένα δόλιο αντίγραφο του νόμιμου ιστότοπου της LYRA (lyra[.]finance). Αυτός ο ψεύτικος ιστότοπος, register-lyra[.]finance, στοχεύει να ξεγελάσει ανυποψίαστους επισκέπτες σε ενέργειες που οδηγούν στην απώλεια των κεφαλαίων τους σε κρυπτονομίσματα. Οι χρήστες καλούνται να αποφύγουν την αλληλεπίδραση με...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
38,375
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....

Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

Fake Warning Messages
29,400
Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
Φόρτωση...