गोग्रा बैकडोर
नवंबर 2023 में, एक दक्षिण एशियाई मीडिया संगठन को गोग्रा नामक एक नए खोजे गए गो-आधारित बैकडोर का उपयोग करके लक्षित किया गया था। गो प्रोग्रामिंग भाषा में लिखा गया यह मैलवेयर, Microsoft मेल सेवाओं पर होस्ट किए गए कमांड-एंड-कंट्रोल (C&C) सर्वर से संचार करने के लिए Microsoft Graph API का लाभ उठाता है। अब तक, लक्षित वातावरण में GoGra की डिलीवरी विधि अज्ञात बनी हुई है। विशेष रूप से, GoGra को 'FNU LNU' उपयोगकर्ता नाम वाले Outlook खाते से संदेशों को पढ़ने के लिए डिज़ाइन किया गया है, विशेष रूप से वे जिनकी विषय पंक्तियाँ 'इनपुट' से शुरू होती हैं।
विषयसूची
गोग्रा पहले उजागर हुए मैलवेयर से समानताएं साझा करता है
संदेश की सामग्री को एक विशिष्ट कुंजी का उपयोग करके सिफर ब्लॉक चेनिंग (CBC) मोड में AES-256 एल्गोरिदम का उपयोग करके डिक्रिप्ट किया जाता है। डिक्रिप्शन के बाद, कमांड को cmd.exe के माध्यम से निष्पादित किया जाता है। फिर परिणामों को एन्क्रिप्ट किया जाता है और 'आउटपुट' विषय के साथ उसी उपयोगकर्ता को वापस भेजा जाता है। माना जाता है कि गोग्रा को हार्वेस्टर नामक एक राष्ट्र-राज्य हैकिंग समूह द्वारा विकसित किया गया है, क्योंकि यह ग्राफॉन नामक एक कस्टम .NET इम्प्लांट के साथ समानता रखता है, जो कमांड-एंड-कंट्रोल (C&C) फ़ंक्शन के लिए ग्राफ़ API का भी उपयोग करता है।
ख़तरा पैदा करने वाले तत्व वैध क्लाउड सेवाओं का तेजी से दोहन कर रहे हैं
खतरा पैदा करने वाले तत्व गोपनीय बने रहने तथा समर्पित बुनियादी ढांचे से जुड़ी लागतों से बचने के लिए वैध क्लाउड सेवाओं का तेजी से दोहन कर रहे हैं।
इस प्रवृत्ति के प्रमुख उदाहरणों में शामिल हैं:
- फायरफ्लाई : दक्षिण-पूर्व एशिया में एक सैन्य संगठन के खिलाफ साइबर हमले में इस्तेमाल किया गया एक नया डेटा एक्सफ़िल्टरेशन टूल। हार्ड-कोडेड रिफ्रेश टोकन का उपयोग करके एकत्रित डेटा को Google ड्राइव पर अपलोड किया जाता है।
- ग्रैगर : अप्रैल 2024 में एक नया बैकडोर खोजा गया, जो ताइवान, हांगकांग और वियतनाम में संगठनों को लक्षित करता है। यह ग्राफ एपीआई के माध्यम से माइक्रोसॉफ्ट वनड्राइव पर होस्ट किए गए कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर से संचार करता है। यह गतिविधि संभावित रूप से UNC5330 नामक संदिग्ध चीनी खतरे वाले अभिनेता से जुड़ी हुई है।
- मूनटैग : ग्राफ एपीआई के साथ बातचीत करने की कार्यक्षमता वाला एक बैकडोर, जिसे चीनी भाषी खतरे वाले अभिनेता के लिए जिम्मेदार ठहराया गया है।
- Onedrivetools : यू.एस. और यूरोप में आईटी सेवा कंपनियों के खिलाफ़ इस्तेमाल किया जाने वाला एक बैकडोर। यह OneDrive पर C&C सर्वर के साथ संचार करने, कमांड निष्पादित करने और आउटपुट को उसी प्लेटफ़ॉर्म पर सहेजने के लिए ग्राफ़ API का उपयोग करता है।
यद्यपि कमांड और कंट्रोल के लिए क्लाउड सेवाओं का उपयोग कोई नई तकनीक नहीं है, लेकिन हाल ही में हमलावरों के बीच इसका उपयोग बढ़ रहा है।
पिछले दरवाजे से संक्रमण के खतरे
बैकडोर मैलवेयर प्रभावित संगठनों या उपयोगकर्ताओं के लिए महत्वपूर्ण खतरे पैदा करता है, जिनमें शामिल हैं:
- अनधिकृत पहुँच : बैकडोर हमलावरों को सिस्टम तक छिपी हुई पहुँच प्रदान करते हैं, जिससे उन्हें सामान्य प्रमाणीकरण तंत्र को बायपास करने की अनुमति मिलती है। इस अनधिकृत पहुँच से संवेदनशील डेटा और महत्वपूर्ण सिस्टम के साथ समझौता हो सकता है।
- डेटा चोरी : हमलावर गोपनीय जानकारी को चुराने के लिए पिछले दरवाज़े का इस्तेमाल कर सकते हैं, जिसमें व्यक्तिगत डेटा, बौद्धिक संपदा और वित्तीय रिकॉर्ड शामिल हैं। इस एकत्रित डेटा का इस्तेमाल पहचान की चोरी, कॉर्पोरेट जासूसी या डार्क वेब पर बेचने के लिए किया जा सकता है।
- सिस्टम नियंत्रण और हेरफेर : एक बार बैकडोर स्थापित हो जाने के बाद, हमलावर प्रभावित सिस्टम पर नियंत्रण प्राप्त कर सकते हैं। यह नियंत्रण उन्हें कमांड निष्पादित करने, अतिरिक्त मैलवेयर इंस्टॉल करने, सिस्टम कॉन्फ़िगरेशन को बदलने या डेटा में हेरफेर करने की अनुमति देता है।
- नेटवर्क समझौता : बैकडोर अक्सर नेटवर्क के भीतर पार्श्व आंदोलन की सुविधा प्रदान करते हैं। हमलावर कनेक्टेड सिस्टम में पार्श्व रूप से स्थानांतरित करने के लिए प्रारंभिक समझौता का उपयोग कर सकते हैं, संभावित रूप से पूरे नेटवर्क को प्रभावित कर सकते हैं और अपने हमले के दायरे को बढ़ा सकते हैं।
- परिचालन में व्यवधान : बैकडोर मैलवेयर सिस्टम विफलताओं, महत्वपूर्ण फ़ाइलों को हटाने या एन्क्रिप्ट करने, या प्रदर्शन संबंधी समस्याओं को जन्म देकर सामान्य व्यावसायिक संचालन को बाधित कर सकता है। इसके परिणामस्वरूप परिचालन डाउनटाइम और वित्तीय नुकसान हो सकता है।
- जासूसी और निगरानी : जासूसी के लिए बैकडोर का इस्तेमाल किया जा सकता है, जिससे हमलावर उपयोगकर्ता की गतिविधियों, संचार और बातचीत की निगरानी और रिकॉर्ड कर सकते हैं। यह निगरानी गोपनीयता से समझौता कर सकती है और संवेदनशील जानकारी के लीक होने का कारण बन सकती है।
- प्रतिष्ठा को नुकसान : बैकडोर मैलवेयर की मौजूदगी किसी संगठन की अच्छी छवि को नुकसान पहुंचा सकती है, जिससे ग्राहकों का भरोसा और विश्वास खत्म हो सकता है। इसका व्यावसायिक संबंधों और बाजार की स्थिति पर दीर्घकालिक प्रभाव पड़ सकता है।
- विनियामक और कानूनी परिणाम : यदि संगठन संवेदनशील डेटा की सुरक्षा नहीं कर पाते हैं तो उन्हें कानूनी और विनियामक परिणामों का सामना करना पड़ सकता है। बैकडोर मैलवेयर से जुड़े डेटा उल्लंघनों के कारण जुर्माना, कानूनी कार्रवाई और अनुपालन संबंधी समस्याएं हो सकती हैं।
संक्षेप में, बैकडोर मैलवेयर एक बहुआयामी खतरा प्रस्तुत करता है जो सुरक्षा, गोपनीयता और परिचालन अखंडता से समझौता कर सकता है, जिससे संगठनों और उपयोगकर्ताओं के लिए मजबूत सुरक्षा उपायों को अपनाना और संभावित घुसपैठ के प्रति सतर्क रहना आवश्यक हो जाता है।
