GoGra bakdør

I november 2023 ble en sørasiatisk medieorganisasjon målrettet ved å bruke en nyoppdaget Go-basert bakdør kjent som GoGra. Denne skadelige programvaren, skrevet i programmeringsspråket Go, utnytter Microsoft Graph API for å kommunisere med en Command-and-Control-server (C&C) som er vert for Microsofts e-posttjenester. Så langt er leveringsmetoden for GoGra til målmiljøene ukjent. Spesielt er GoGra designet for å lese meldinger fra en Outlook-konto med brukernavnet 'FNU LNU', spesielt de med emnelinjer som begynner med 'Input'.

GoGra deler likheter med tidligere avdekket skadelig programvare

Meldingsinnholdet dekrypteres ved hjelp av AES-256-algoritmen i Cipher Block Chaining (CBC)-modus ved å bruke en spesifikk nøkkel. Etter dekryptering utføres kommandoene via cmd.exe. Resultatene blir deretter kryptert og sendt tilbake til samme bruker med emnet "Output". GoGra antas å være utviklet av en nasjonalstatlig hackergruppe kjent som Harvester , på grunn av likhetene med et tilpasset .NET-implantat kalt Graphon , som også bruker Graph API for Command-and-Control (C&C) funksjoner.

Trusselaktører utnytter i økende grad legitime skytjenester

Trusselaktører utnytter i økende grad legitime skytjenester for å forbli diskrete og unngå kostnadene forbundet med dedikert infrastruktur.

Fremtredende eksempler på denne trenden inkluderer:

• Firefly : Et nytt dataeksfiltreringsverktøy brukt i et cyberangrep mot en militær organisasjon i Sørøst-Asia. De innhentede dataene lastes opp til Google Disk ved hjelp av et hardkodet oppdateringstoken.
• Grager : En ny bakdør ble oppdaget i april 2024, rettet mot organisasjoner i Taiwan, Hong Kong og Vietnam. Den kommuniserer med en Command-and-Control-server (C&C) som er vert på Microsoft OneDrive via Graph API. Denne aktiviteten er foreløpig knyttet til den mistenkte kinesiske trusselaktøren kjent som UNC5330.
• MoonTag : En bakdør med funksjonalitet for samhandling med Graph API tilskrevet en kinesisktalende trusselaktør.
• Onedrivetools : En bakdør brukt mot IT-tjenesteselskaper i USA og Europa. Den bruker Graph API for å kommunisere med en C&C-server på OneDrive, utføre kommandoer og lagre utdata til samme plattform.

Selv om bruk av skytjenester for kommando og kontroll ikke er en ny teknikk, har bruken av den blant angripere økt den siste tiden.

Farene ved bakdørsinfeksjoner

En bakdør skadelig programvare utgjør betydelige farer for berørte organisasjoner eller brukere, inkludert:

• Uautorisert tilgang : Bakdører gir angripere skjult tilgang til systemer, slik at de kan omgå normale autentiseringsmekanismer. Denne uautoriserte tilgangen kan føre til kompromittering av sensitive data og kritiske systemer.
• Datatyveri : Angripere kan bruke bakdører til å utslette konfidensiell informasjon, inkludert personlige data, åndsverk og økonomiske poster. Disse innsamlede dataene kan brukes til identitetstyveri, bedriftsspionasje eller selges på det mørke nettet.
• Systemkontroll og manipulering : Når en bakdør er installert, kan angripere få kontroll over berørte systemer. Denne kontrollen lar dem utføre kommandoer, installere ytterligere skadelig programvare, endre systemkonfigurasjoner eller manipulere data.
• Nettverkskompromiss : Bakdører letter ofte sideveis bevegelse i et nettverk. Angripere kan bruke et innledende kompromiss for å bevege seg sideveis på tvers av tilkoblede systemer, og potensielt påvirke hele nettverk og øke omfanget av angrepet deres.
• Driftsforstyrrelser : Skadevare bakdører kan forstyrre normal forretningsdrift ved å forårsake systemfeil, slette eller kryptere kritiske filer eller føre til ytelsesproblemer. Dette kan resultere i driftsstans og økonomiske tap.
• Spionasje og overvåking : Bakdører kan brukes til spionasje, slik at angripere kan overvåke og registrere brukeraktiviteter, kommunikasjon og interaksjoner. Denne overvåkingen kan kompromittere personvernet og føre til lekkasje av sensitiv informasjon.
• Skade på omdømme : Tilstedeværelsen av bakdør malware kan skade det gode navnet til en organisasjon, og føre til tap av kundetillit og tillit. Dette kan ha langsiktige effekter på forretningsrelasjoner og markedsposisjon.
• Regulatoriske og juridiske konsekvenser : Organisasjoner kan møte juridiske og regulatoriske konsekvenser hvis de ikke kan beskytte sensitive data. Datainnbrudd som involverer bakdørs malware kan føre til bøter, rettslige handlinger og overholdelsesproblemer.

Oppsummert presenterer bakdør malware en mangefasettert trussel som kan kompromittere sikkerhet, personvern og operasjonell integritet, noe som gjør det avgjørende for organisasjoner og brukere å bruke robuste sikkerhetstiltak og være årvåken mot potensielle inntrengninger.