Multi-License Discount Quote
Veszély-adatbázis Malware GoGra Backdoor

GoGra Backdoor

Mezo -ra Malware, Backdoors-ben
Fordítás ide:
Magyar

2023 novemberében egy dél-ázsiai médiaszervezetet céloztak meg egy újonnan felfedezett Go-alapú hátsó ajtó, a GoGra segítségével. Ez a Go programozási nyelven írt rosszindulatú program a Microsoft Graph API segítségével kommunikál a Microsoft levelezőszolgáltatásain üzemeltetett Command-and-Control (C&C) szerverrel. A GoGra célkörnyezetekbe való eljuttatási módja egyelőre ismeretlen. A GoGra kifejezetten az „FNU LNU” felhasználónévvel rendelkező Outlook-fiókból származó üzenetek olvasására készült, különösen az „Input”-tal kezdődő tárgysorokkal.

A GoGra hasonlóságot mutat a korábban feltárt rosszindulatú programokkal

Az üzenet tartalmának visszafejtése az AES-256 algoritmus segítségével történik Cipher Block Chaining (CBC) módban, egy adott kulcs használatával. A visszafejtés után a parancsok végrehajtása a cmd.exe fájlon keresztül történik. Az eredményeket ezután titkosítják, és visszaküldik ugyanannak a felhasználónak „Kimenet” tárggyal. A GoGra-t vélhetően egy Harvester néven ismert nemzetállami hackercsoport fejlesztette ki, a Graphon nevű egyedi .NET-implantátumhoz való hasonlósága miatt, amely szintén a Graph API-t használja a Command-and-Control (C&C) funkciókhoz.

A fenyegető szereplők egyre inkább kihasználják a törvényes felhőszolgáltatásokat

A fenyegetés szereplői egyre gyakrabban használják ki a legitim felhőszolgáltatásokat, hogy diszkrétek maradjanak, és elkerüljék a dedikált infrastruktúrával kapcsolatos költségeket.

E tendencia kiemelkedő példái a következők:

  • Firefly : Új adatszivárgó eszköz, amelyet egy délkelet-ázsiai katonai szervezet elleni kibertámadás során használnak. A begyűjtött adatokat a rendszer feltölti a Google Drive-ra egy merev kódú frissítési token segítségével.
  • Grager : 2024 áprilisában egy új hátsó ajtót fedeztek fel, amely a tajvani, hongkongi és vietnami szervezeteket célozza meg. A Graph API-n keresztül kommunikál a Microsoft OneDrive-on tárolt Command-and-Control (C&C) szerverrel. Ez a tevékenység feltételesen összefügg az UNC5330 néven ismert feltételezett kínai fenyegetettséggel.
  • MoonTag : Hátsóajtó, amely a Graph API-val való interakcióhoz szükséges funkciókat egy kínaiul beszélő fenyegetés szereplőjének tulajdonították.
  • Onedrivetools : Az Egyesült Államokban és Európában az IT-szolgáltató cégek ellen használt hátsó ajtó. A Graph API-t használja a OneDrive-on lévő C&C-kiszolgálóval való kommunikációhoz, parancsokat hajt végre, és ugyanarra a platformra menti a kimenetet.

Bár a felhőszolgáltatások Command and Control-hoz nem új keletű technika, a támadók körében az utóbbi időben egyre inkább elterjedt.

A hátsó ajtó fertőzések veszélyei

A backdoor rosszindulatú programok jelentős veszélyeket jelentenek az érintett szervezetekre vagy felhasználókra nézve, többek között:

  • Jogosulatlan hozzáférés : A hátsó ajtók rejtett hozzáférést biztosítanak a támadóknak a rendszerekhez, lehetővé téve számukra a normál hitelesítési mechanizmusok megkerülését. Ez az illetéktelen hozzáférés érzékeny adatok és kritikus rendszerek veszélyeztetéséhez vezethet.
  • Adatlopás : A támadók hátsó ajtókat használhatnak bizalmas információk kiszivárogtatására, beleértve a személyes adatokat, a szellemi tulajdont és a pénzügyi nyilvántartásokat. Az összegyűjtött adatok felhasználhatók személyazonosság-lopásra, vállalati kémkedésre, vagy értékesíthetők a sötét weben.
  • Rendszervezérlés és manipuláció : A hátsó ajtó telepítése után a támadók átvehetik az irányítást az érintett rendszerek felett. Ez a vezérlő lehetővé teszi számukra, hogy parancsokat hajtsanak végre, további rosszindulatú programokat telepítsenek, módosítsák a rendszerkonfigurációkat vagy manipulálják az adatokat.
  • Hálózati kompromisszum : A hátsó ajtók gyakran megkönnyítik az oldalirányú mozgást a hálózaton belül. A támadók egy kezdeti kompromisszumot alkalmazhatnak, hogy oldalirányban mozogjanak a csatlakoztatott rendszerek között, ami potenciálisan teljes hálózatokat érinthet, és növelheti támadásuk hatókörét.
  • Működési zavarok : A Backdoor rosszindulatú programok rendszerhibákat okozva, a kritikus fájlok törlésével vagy titkosításával, illetve teljesítménybeli problémákkal megzavarhatják a normál üzleti működést. Ez működési leálláshoz és pénzügyi veszteségekhez vezethet.
  • Kémkedés és megfigyelés : A hátsó ajtók kémkedésre használhatók, lehetővé téve a támadók számára, hogy figyeljék és rögzítsék a felhasználói tevékenységeket, kommunikációt és interakciókat. Ez a megfigyelés veszélyeztetheti a magánélet védelmét, és érzékeny információk kiszivárgásához vezethet.
  • Hírnév károsodása : A backdoor malware jelenléte ronthatja a szervezet jó hírnevét, ami az ügyfelek bizalmának elvesztéséhez vezethet. Ennek hosszú távú hatásai lehetnek az üzleti kapcsolatokra és a piaci pozícióra.
  • Szabályozási és jogi következmények : A szervezetek jogi és szabályozási következményekkel szembesülhetnek, ha nem tudják megvédeni az érzékeny adatokat. A backdoor rosszindulatú programokkal kapcsolatos adatsértések pénzbírságot, jogi lépéseket és megfelelési problémákat vonhatnak maguk után.

Összefoglalva, a backdoor malware sokrétű fenyegetést jelent, amely veszélyeztetheti a biztonságot, a magánélet védelmét és a működési integritást, ezért elengedhetetlen a szervezetek és a felhasználók számára, hogy robusztus biztonsági intézkedéseket alkalmazzanak, és vigyázzanak az esetleges behatolásokkal szemben.

Felkapott

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Fake Warning Messages
29,400
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...