GoGra Backdoor

Marraskuussa 2023 Etelä-Aasialainen mediaorganisaatio joutui kohteena käyttämällä äskettäin löydettyä Go-pohjaista takaovea, joka tunnetaan nimellä GoGra. Tämä Go-ohjelmointikielellä kirjoitettu haittaohjelma hyödyntää Microsoft Graph API:a viestiäkseen Microsoftin sähköpostipalveluissa isännöidyn Command-and-Control (C&C) -palvelimen kanssa. Toistaiseksi GoGran toimitustapa kohdeympäristöihin on tuntematon. Erityisesti GoGra on suunniteltu lukemaan viestejä Outlook-tilistä, jonka käyttäjätunnus on "FNU LNU", erityisesti viestejä, joiden aiherivit alkavat "Input".

GoGra jakaa yhtäläisyydet aiemmin paljastuneiden haittaohjelmien kanssa

Viestin sisällön salaus puretaan AES-256-algoritmilla CBC (Cipher Block Chaining) -tilassa käyttämällä tiettyä avainta. Salauksen purkamisen jälkeen komennot suoritetaan cmd.exe:n kautta. Tulokset salataan ja lähetetään takaisin samalle käyttäjälle otsikolla "Output". GoGran uskotaan kehittäneen kansallisvaltion hakkerointiryhmä, joka tunnetaan nimellä Harvester , koska se on yhtäläisyyksiä mukautetun Graphon -nimisen .NET-istutteen kanssa, joka käyttää myös Graph API:ta Command-and-Control (C&C) -toimintoihin.

Uhkatoimijat käyttävät yhä enemmän laillisia pilvipalveluita

Uhkatoimijat hyödyntävät yhä enemmän laillisia pilvipalveluita pysyäkseen huomaamattomina ja välttääkseen omistetun infrastruktuurin kustannukset.

Näkyviä esimerkkejä tästä trendistä ovat:

• Firefly : Uusi tietojen suodatustyökalu, jota käytetään kyberhyökkäyksessä sotilasjärjestöä vastaan Kaakkois-Aasiassa. Kerätyt tiedot ladataan Google Driveen kovakoodatun päivitystunnuksen avulla.
• Grager : Huhtikuussa 2024 löydettiin uusi takaovi, joka kohdistui organisaatioihin Taiwanissa, Hongkongissa ja Vietnamissa. Se kommunikoi Microsoft OneDrivessa sijaitsevan Command-and-Control (C&C) -palvelimen kanssa Graph API:n kautta. Tämä toiminta liittyy alustavasti epäiltyyn kiinalaiseen uhkatekijään, joka tunnetaan nimellä UNC5330.
• MoonTag : Takaovi, jossa on toimintoja vuorovaikutukseen Graph API:n kanssa, joka johtuu kiinankielisestä uhkatekijästä.
• Onedrivetools : Takaovi, jota käytetään IT-palveluyrityksiä vastaan Yhdysvalloissa ja Euroopassa. Se käyttää Graph APIa kommunikoimaan C&C-palvelimen kanssa OneDrivessa, suorittaen komentoja ja tallentamalla tulosteen samalle alustalle.

Vaikka pilvipalveluiden käyttö Command and Controlissa ei ole uusi tekniikka, sen käyttö hyökkääjien keskuudessa on viime aikoina lisääntynyt.

Takaoven infektioiden vaarat

Takaoven haittaohjelma aiheuttaa merkittäviä vaaroja organisaatioille tai käyttäjille, joita se koskee, mukaan lukien:

• Luvaton pääsy : Takaovet tarjoavat hyökkääjille piilotetun pääsyn järjestelmiin, jolloin he voivat ohittaa normaalit todennusmekanismit. Tämä luvaton käyttö voi johtaa arkaluonteisten tietojen ja kriittisten järjestelmien vaarantumiseen.
• Tietovarkaus : Hyökkääjät voivat käyttää takaovia luottamuksellisten tietojen, mukaan lukien henkilötietojen, immateriaalioikeuksien ja taloustietojen suodattamiseen. Näitä kerättyjä tietoja voidaan käyttää identiteettivarkauksiin, yritysvakoiluihin tai myydä pimeässä Webissä.
• Järjestelmän ohjaus ja manipulointi : Kun takaovi on asennettu, hyökkääjät voivat hallita järjestelmiä, joihin vaikuttaa. Tämän ohjauksen avulla he voivat suorittaa komentoja, asentaa lisähaittaohjelmia, muuttaa järjestelmän kokoonpanoja tai käsitellä tietoja.
• Verkkokompromissi : Takaovet helpottavat usein sivuttaisliikettä verkon sisällä. Hyökkääjät voivat käyttää alustavaa kompromissia siirtyäkseen sivusuunnassa yhdistettyjen järjestelmien välillä, mikä saattaa vaikuttaa kokonaisiin verkkoihin ja laajentaa hyökkäysten laajuutta.
• Toiminnan häiriöt : Backdoor-haittaohjelmat voivat häiritä normaalia liiketoimintaa aiheuttamalla järjestelmävirheitä, poistamalla tai salaamalla tärkeitä tiedostoja tai johtavat suorituskykyongelmiin. Tämä voi johtaa käyttökatkoihin ja taloudellisiin menetyksiin.
• Vakoilu ja valvonta : Takaovia voidaan käyttää vakoilussa, jolloin hyökkääjät voivat seurata ja tallentaa käyttäjien toimintaa, viestintää ja vuorovaikutusta. Tämä valvonta voi vaarantaa yksityisyyden ja johtaa arkaluonteisten tietojen vuotamiseen.
• Mainevauriot : Takaoven haittaohjelmat voivat vahingoittaa organisaation hyvää mainetta ja johtaa asiakkaiden luottamuksen menettämiseen. Tällä voi olla pitkäaikaisia vaikutuksia liikesuhteisiin ja markkina-asemaan.
• Sääntely- ja oikeudelliset seuraukset : Organisaatiot voivat joutua oikeudellisiin ja lainsäädännöllisiin seurauksiin, jos ne eivät pysty suojaamaan arkaluonteisia tietoja. Tietoturvaloukkaukset, joihin liittyy takaoven haittaohjelmia, voivat johtaa sakkoihin, oikeustoimiin ja vaatimustenmukaisuusongelmiin.

Yhteenvetona voidaan todeta, että takaoven haittaohjelmat muodostavat monitahoisen uhan, joka voi vaarantaa turvallisuuden, yksityisyyden ja toiminnan eheyden, minkä vuoksi organisaatioiden ja käyttäjien on välttämätöntä käyttää vahvoja turvatoimia ja pysyä valppaana mahdollisia tunkeutumisia vastaan.