Multi-License Discount Quote
Database delle minacce Malware Porta sul retro di GoGra

Porta sul retro di GoGra

Entro Mezo nel Malware, Backdoors
Traduci in:
Italiano

Nel novembre 2023, un'organizzazione mediatica del Sud Asia è stata presa di mira tramite una backdoor basata su Go appena scoperta, nota come GoGra. Questo malware, scritto nel linguaggio di programmazione Go, sfrutta la Microsoft Graph API per comunicare con un server Command-and-Control (C&C) ospitato sui servizi di posta Microsoft. Finora, il metodo di recapito di GoGra negli ambienti di destinazione rimane sconosciuto. In particolare, GoGra è progettato per leggere i messaggi da un account Outlook con il nome utente "FNU LNU", in particolare quelli con righe dell'oggetto che iniziano con "Input".

GoGra condivide somiglianze con malware precedentemente scoperti

Il contenuto del messaggio viene decifrato utilizzando l'algoritmo AES-256 in modalità Cipher Block Chaining (CBC) utilizzando una chiave specifica. Dopo la decifratura, i comandi vengono eseguiti tramite cmd.exe. I risultati vengono quindi crittografati e inviati allo stesso utente con oggetto "Output". Si ritiene che GoGra sia stato sviluppato da un gruppo di hacker di uno stato nazionale noto come Harvester , a causa delle sue somiglianze con un impianto .NET personalizzato chiamato Graphon , che utilizza anche la Graph API per le funzioni Command-and-Control (C&C).

Gli attori delle minacce sfruttano sempre di più i servizi cloud legittimi

Gli autori delle minacce sfruttano sempre di più i servizi cloud legittimi per rimanere discreti ed evitare i costi associati a infrastrutture dedicate.

Esempi importanti di questa tendenza includono:

  • Firefly : un nuovo strumento di esfiltrazione dati utilizzato in un attacco informatico contro un'organizzazione militare nel sud-est asiatico. I dati raccolti vengono caricati su Google Drive tramite un token di aggiornamento hard-coded.
  • Grager : una nuova backdoor è stata scoperta nell'aprile 2024, che ha come target organizzazioni a Taiwan, Hong Kong e Vietnam. Comunica con un server Command-and-Control (C&C) ospitato su Microsoft OneDrive tramite Graph API. Questa attività è provvisoriamente collegata al presunto autore di minacce cinese noto come UNC5330.
  • MoonTag : una backdoor con funzionalità per interagire con la Graph API attribuita a un autore della minaccia di lingua cinese.
  • Onedrivetools : una backdoor usata contro le aziende di servizi IT negli Stati Uniti e in Europa. Utilizza la Graph API per comunicare con un server C&C su OneDrive, eseguendo comandi e salvando l'output sulla stessa piattaforma.

Sebbene l'utilizzo dei servizi cloud per scopi di comando e controllo non sia una tecnica nuova, la sua adozione da parte degli aggressori è in aumento di recente.

I pericoli delle infezioni backdoor

Un malware backdoor rappresenta un pericolo significativo per le organizzazioni o gli utenti interessati, tra cui:

  • Accesso non autorizzato : le backdoor forniscono agli aggressori un accesso nascosto ai sistemi, consentendo loro di bypassare i normali meccanismi di autenticazione. Questo accesso non autorizzato può portare alla compromissione di dati sensibili e sistemi critici.
  • Furto di dati : gli aggressori possono usare backdoor per esfiltrare informazioni riservate, tra cui dati personali, proprietà intellettuale e registri finanziari. Questi dati raccolti possono essere usati per furto di identità, spionaggio aziendale o venduti sul dark web.
  • Controllo e manipolazione del sistema : una volta installata una backdoor, gli aggressori possono ottenere il controllo sui sistemi interessati. Questo controllo consente loro di eseguire comandi, installare malware aggiuntivo, modificare le configurazioni di sistema o manipolare i dati.
  • Compromissione della rete : le backdoor spesso facilitano il movimento laterale all'interno di una rete. Gli aggressori possono usare una compromissione iniziale per muoversi lateralmente attraverso sistemi connessi, potenzialmente influenzando intere reti e aumentando la portata del loro attacco.
  • Interruzione delle operazioni : il malware backdoor può interrompere le normali operazioni aziendali causando guasti di sistema, eliminando o crittografando file critici o causando problemi di prestazioni. Ciò può causare tempi di inattività operativi e perdite finanziarie.
  • Spionaggio e sorveglianza : le backdoor possono essere utilizzate per lo spionaggio, consentendo agli aggressori di monitorare e registrare le attività, le comunicazioni e le interazioni degli utenti. Questa sorveglianza può compromettere la privacy e portare alla fuga di informazioni sensibili.
  • Danni alla reputazione : la presenza di malware backdoor può danneggiare il buon nome di un'organizzazione, portando alla perdita di fiducia e sicurezza dei clienti. Ciò può avere effetti a lungo termine sulle relazioni commerciali e sulla posizione di mercato.
  • Conseguenze legali e normative : le organizzazioni potrebbero dover affrontare conseguenze legali e normative se non riescono a proteggere i dati sensibili. Le violazioni dei dati che coinvolgono malware backdoor possono comportare multe, azioni legali e problemi di conformità.

In sintesi, il malware backdoor rappresenta una minaccia multiforme che può compromettere la sicurezza, la privacy e l'integrità operativa, rendendo essenziale per le organizzazioni e gli utenti adottare misure di sicurezza efficaci e rimanere vigili contro potenziali intrusioni.

Tendenza

I più visti

Caricamento in corso...