GoGra דלת אחורית

בנובמבר 2023, ארגון מדיה בדרום אסיה היה ממוקד באמצעות דלת אחורית מבוססת Go, הידועה בשם GoGra. תוכנה זדונית זו, שנכתבה בשפת התכנות Go, ממנפת את Microsoft Graph API כדי לתקשר עם שרת Command-and-Control (C&C) המתארח בשירותי הדואר של Microsoft. עד כה, שיטת המסירה של GoGra לסביבות היעד נותרה לא ידועה. יש לציין, GoGra נועד לקרוא הודעות מחשבון Outlook עם שם המשתמש 'FNU LNU', במיוחד אלה עם שורות נושא שמתחילות ב-'Input'.

GoGra חולקת קווי דמיון עם תוכנות זדוניות שנחשפו בעבר

תוכן ההודעה מפוענח באמצעות אלגוריתם AES-256 במצב צופן בלוק שרשור (CBC) באמצעות מפתח ספציפי. לאחר הפענוח, הפקודות מבוצעות באמצעות cmd.exe. לאחר מכן התוצאות מוצפנות ונשלחות חזרה לאותו משתמש עם הנושא 'פלט'. מאמינים ש-GoGra פותחה על ידי קבוצת פריצה במדינה המכונה Harvester , בשל קווי הדמיון שלו עם שתל NET מותאם אישית בשם Graphon , אשר משתמש גם ב-Graph API עבור פונקציות Command-and-Control (C&C).

שחקני איום מנצלים יותר ויותר שירותי ענן לגיטימיים

גורמי איומים מנצלים יותר ויותר שירותי ענן לגיטימיים כדי להישאר דיסקרטיים ולהימנע מהעלויות הכרוכות בתשתית ייעודית.

דוגמאות בולטות למגמה זו כוללות:

• Firefly : כלי חדש לסילוק נתונים המשמש במתקפת סייבר נגד ארגון צבאי בדרום מזרח אסיה. הנתונים שנאספו מועלים ל-Google Drive באמצעות אסימון רענון בקוד קשיח.
• גרגר : דלת אחורית חדשה התגלתה באפריל 2024, המכוונת לארגונים בטייוואן, הונג קונג וויאטנם. הוא מתקשר עם שרת Command-and-Control (C&C) המתארח ב-Microsoft OneDrive באמצעות ה-API של Graph. פעילות זו קשורה באופן טנטטיבי לשחקן האיום הסיני החשוד בשם UNC5330.
• MoonTag : דלת אחורית עם פונקציונליות לאינטראקציה עם Graph API המיוחסת לשחקן איום דובר סינית.
• Onedrivetools : דלת אחורית המשמשת נגד חברות שירותי IT בארה"ב ובאירופה. הוא משתמש ב-Graph API כדי לתקשר עם שרת C&C ב-OneDrive, ביצוע פקודות ושמירת פלט לאותה פלטפורמה.

בעוד ששימוש בשירותי ענן עבור פיקוד ובקרה אינו טכניקה חדשה, האימוץ שלה בקרב תוקפים גדל לאחרונה.

הסכנות של זיהומים בדלת אחורית

תוכנה זדונית בדלת אחורית מהווה סכנות משמעותיות לארגונים או למשתמשים המושפעים, כולל:

• גישה לא מורשית : דלתות אחוריות מספקות לתוקפים גישה נסתרת למערכות, מה שמאפשר להם לעקוף מנגנוני אימות רגילים. גישה בלתי מורשית זו עלולה להוביל לפגיעה בנתונים רגישים ובמערכות קריטיות.
• גניבת נתונים : תוקפים יכולים להשתמש בדלתות אחוריות כדי לסנן מידע סודי, כולל נתונים אישיים, קניין רוחני ורשומות פיננסיות. ניתן להשתמש בנתונים שנאספו לגניבת זהות, ריגול תאגידי או למכור ברשת האפלה.
• בקרת מערכת ומניפולציה : לאחר התקנת דלת אחורית, התוקפים יכולים לקבל שליטה על המערכות המושפעות. שליטה זו מאפשרת להם לבצע פקודות, להתקין תוכנות זדוניות נוספות, לשנות תצורות מערכת או לתפעל נתונים.
• פשרה ברשת : דלתות אחוריות מאפשרות לעתים קרובות תנועה לרוחב בתוך רשת. תוקפים יכולים להשתמש בפשרה ראשונית כדי לנוע לרוחב בין מערכות מחוברות, מה שעלול להשפיע על רשתות שלמות ולהגדיל את היקף ההתקפה שלהם.
• שיבוש פעולות : תוכנה זדונית בדלת אחורית יכולה לשבש את הפעילות העסקית הרגילה על ידי גרימת תקלות מערכת, מחיקה או הצפנה של קבצים קריטיים, או הובילה לבעיות ביצועים. זה יכול לגרום להשבתה תפעולית ולהפסדים כספיים.
• ריגול ומעקב : ניתן להשתמש בדלתות אחוריות לריגול, מה שמאפשר לתוקפים לנטר ולתעד פעילויות משתמשים, תקשורת ואינטראקציות. מעקב זה עלול לפגוע בפרטיות ולהוביל לדליפת מידע רגיש.
• נזק למוניטין : נוכחות של תוכנות זדוניות בדלת אחורית עלולה לפגוע בשמו הטוב של ארגון, ולהוביל לאובדן אמון ואמון הלקוחות. זה יכול להיות בעל השפעות ארוכות טווח על היחסים העסקיים ועל מיקום השוק.
• השלכות רגולטוריות ומשפטיות : ארגונים עלולים לעמוד בפני השלכות משפטיות ורגולטוריות אם הם לא יכולים להגן על נתונים רגישים. פרצות נתונים הכוללות תוכנות זדוניות בדלת אחורית עלולות להוביל לקנסות, פעולות משפטיות ובעיות ציות.

לסיכום, תוכנה זדונית בדלת אחורית מהווה איום רב-גוני שיכול לסכן את האבטחה, הפרטיות והשלמות התפעולית, מה שהופך את זה חיוני לארגונים ולמשתמשים להפעיל אמצעי אבטחה חזקים ולהישאר ערניים מפני פריצות פוטנציאליות.