Multi-License Discount Quote
پایگاه داده تهدید Malware GoGra Backdoor

GoGra Backdoor

تا Mezo در Malware, Backdoors
ترجمه به:
فارسی

در نوامبر 2023، یک سازمان رسانه ای جنوب آسیا با استفاده از یک درب پشتی جدید کشف شده مبتنی بر Go به نام GoGra مورد هدف قرار گرفت. این بدافزار که به زبان برنامه نویسی Go نوشته شده است، از Microsoft Graph API برای برقراری ارتباط با یک سرور Command-and-Control (C&C) که در سرویس های پست الکترونیکی مایکروسافت میزبانی شده است، استفاده می کند. تاکنون روش تحویل GoGra به محیط های مورد نظر ناشناخته مانده است. قابل‌توجه است که GoGra برای خواندن پیام‌ها از یک حساب Outlook با نام کاربری «FNU LNU» طراحی شده است، به‌ویژه آنهایی که خطوط موضوع با «ورودی» شروع می‌شوند.

GoGra شباهت هایی را با بدافزارهای کشف شده قبلی به اشتراک می گذارد

محتوای پیام با استفاده از الگوریتم AES-256 در حالت زنجیره بلوک رمز (CBC) با استفاده از یک کلید خاص رمزگشایی می شود. پس از رمزگشایی، دستورات از طریق cmd.exe اجرا می شوند. سپس نتایج رمزگذاری شده و با موضوع "خروجی" به همان کاربر ارسال می شود. اعتقاد بر این است که GoGra توسط یک گروه هک دولتی به نام Harvester توسعه داده شده است، زیرا شباهت های آن با ایمپلنت دات نت سفارشی به نام Graphon است، که همچنین از Graph API برای عملکردهای Command-and-Control (C&C) استفاده می کند.

بازیگران تهدید به طور فزاینده ای از سرویس های ابری قانونی سوء استفاده می کنند

عوامل تهدید به طور فزاینده ای از سرویس های ابری قانونی برای حفظ محتاط ماندن و اجتناب از هزینه های مربوط به زیرساخت های اختصاصی استفاده می کنند.

نمونه های بارز این گرایش عبارتند از:

  • Firefly : ابزاری برای استخراج داده های جدید که در حمله سایبری علیه یک سازمان نظامی در جنوب شرقی آسیا استفاده می شود. داده‌های جمع‌آوری‌شده با استفاده از یک نشانه تازه کدگذاری شده در Google Drive آپلود می‌شوند.
  • Grager : یک درب پشتی جدید در آوریل 2024 کشف شد که سازمان‌هایی را در تایوان، هنگ کنگ و ویتنام هدف قرار می‌داد. از طریق Graph API با یک سرور Command-and-Control (C&C) که در Microsoft OneDrive میزبانی شده است ارتباط برقرار می کند. این فعالیت به طور آزمایشی با عامل تهدید چینی مشکوک به نام UNC5330 مرتبط است.
  • MoonTag : یک درب پشتی با قابلیت تعامل با Graph API منتسب به یک عامل تهدید چینی زبان.
  • Onedrivetools : یک درب پشتی که علیه شرکت های خدمات فناوری اطلاعات در ایالات متحده و اروپا استفاده می شود. از Graph API برای برقراری ارتباط با یک سرور C&C در OneDrive، اجرای دستورات و ذخیره خروجی در همان پلتفرم استفاده می‌کند.

در حالی که استفاده از خدمات ابری برای فرماندهی و کنترل تکنیک جدیدی نیست، اخیراً استفاده از آن در بین مهاجمان افزایش یافته است.

خطرات عفونت های درب پشتی

بدافزار Backdoor خطرات قابل توجهی را برای سازمان ها یا کاربران آسیب دیده ایجاد می کند، از جمله:

  • دسترسی غیرمجاز : درهای پشتی دسترسی مخفی به سیستم ها را برای مهاجمان فراهم می کند و به آنها اجازه می دهد مکانیسم های احراز هویت عادی را دور بزنند. این دسترسی غیرمجاز می تواند منجر به به خطر افتادن داده های حساس و سیستم های حیاتی شود.
  • سرقت داده ها : مهاجمان می توانند از درهای پشتی برای استخراج اطلاعات محرمانه از جمله داده های شخصی، مالکیت معنوی و سوابق مالی استفاده کنند. این داده‌های جمع‌آوری‌شده را می‌توان برای سرقت هویت، جاسوسی شرکتی، یا فروش در وب تاریک استفاده کرد.
  • کنترل و دستکاری سیستم : هنگامی که یک درب پشتی نصب می شود، مهاجمان می توانند کنترل سیستم های آسیب دیده را به دست آورند. این کنترل به آنها اجازه می دهد تا دستورات را اجرا کنند، بدافزار اضافی نصب کنند، پیکربندی های سیستم را تغییر دهند یا داده ها را دستکاری کنند.
  • به خطر افتادن شبکه : درهای پشتی اغلب حرکت جانبی در یک شبکه را تسهیل می کنند. مهاجمان می‌توانند از مصالحه اولیه برای حرکت جانبی در میان سیستم‌های متصل استفاده کنند که به طور بالقوه بر کل شبکه‌ها تأثیر می‌گذارد و دامنه حمله خود را افزایش می‌دهد.
  • اختلال در عملیات : بدافزار Backdoor می‌تواند با ایجاد خرابی سیستم، حذف یا رمزگذاری فایل‌های حیاتی یا منجر به مشکلات عملکرد، عملیات عادی کسب‌وکار را مختل کند. این می تواند منجر به خرابی عملیات و زیان های مالی شود.
  • جاسوسی و نظارت : از درهای پشتی می توان برای جاسوسی استفاده کرد و به مهاجمان اجازه می دهد فعالیت ها، ارتباطات و تعاملات کاربر را نظارت و ضبط کنند. این نظارت می تواند حریم خصوصی را به خطر بیاندازد و منجر به نشت اطلاعات حساس شود.
  • آسیب به شهرت : وجود بدافزارهای پشتی می تواند به نام خوب یک سازمان آسیب برساند و منجر به از دست دادن اعتماد و اطمینان مشتری شود. این می تواند اثرات بلندمدتی بر روابط تجاری و موقعیت بازار داشته باشد.
  • پیامدهای قانونی و قانونی : اگر سازمان ها نتوانند از داده های حساس محافظت کنند، ممکن است با عواقب قانونی و نظارتی مواجه شوند. نقض داده های مربوط به بدافزارهای پشتی می تواند منجر به جریمه، اقدامات قانونی و مسائل مربوط به انطباق شود.

به طور خلاصه، بدافزار پشتی تهدیدی چندوجهی است که می‌تواند امنیت، حریم خصوصی و یکپارچگی عملیاتی را به خطر بیندازد، و برای سازمان‌ها و کاربران ضروری است که از اقدامات امنیتی قوی استفاده کنند و در برابر نفوذهای احتمالی هوشیار بمانند.

پرطرفدار

کلاهبرداری اولیه LYRA

Phishing, Spam
LYRA Early Adopter Scam یک طرح فریبنده است که در آن کلاهبرداران یک کپی جعلی از وب سایت قانونی LYRA (lyra[.]finance) ایجاد کرده اند. این سایت جعلی، register-lyra[.]finance، با هدف فریب بازدیدکنندگان ناآگاه به اقداماتی که منجر به از دست دادن وجوه ارز دیجیتال آنها می شود، می باشد. از کاربران درخواست می شود از تعامل با این سایت کلاهبرداری خودداری کنند. طبق گزارش کمیسیون تجارت فدرال (FTC)، از ابتدای...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
38,375
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...

پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

Fake Warning Messages
29,400
پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
بارگذاری...