GoGra-achterdeur

In november 2023 werd een Zuid-Aziatische mediaorganisatie aangevallen met een nieuw ontdekte Go-gebaseerde backdoor, bekend als GoGra. Deze malware, geschreven in de programmeertaal Go, maakt gebruik van de Microsoft Graph API om te communiceren met een Command-and-Control (C&C)-server die wordt gehost op Microsoft-mailservices. Tot nu toe is de bezorgmethode van GoGra aan de doelomgevingen onbekend. GoGra is met name ontworpen om berichten te lezen van een Outlook-account met de gebruikersnaam 'FNU LNU', met name berichten waarvan de onderwerpregels beginnen met 'Input'.

GoGra vertoont overeenkomsten met eerder ontdekte malware

De inhoud van het bericht wordt gedecodeerd met behulp van het AES-256-algoritme in Cipher Block Chaining (CBC)-modus met behulp van een specifieke sleutel. Na decodering worden de opdrachten uitgevoerd via cmd.exe. De resultaten worden vervolgens gecodeerd en teruggestuurd naar dezelfde gebruiker met het onderwerp 'Output'. GoGra zou zijn ontwikkeld door een hackersgroep van een natiestaat, bekend als Harvester , vanwege de overeenkomsten met een aangepast .NET-implantaat genaamd Graphon , dat ook de Graph API gebruikt voor Command-and-Control (C&C)-functies.

Dreigingsactoren maken steeds vaker misbruik van legitieme clouddiensten

Cybercriminelen maken steeds vaker gebruik van legitieme clouddiensten om discreet te blijven en de kosten van speciale infrastructuur te vermijden.

Bekende voorbeelden van deze trend zijn:

• Firefly : Een nieuwe tool voor data-exfiltratie die wordt gebruikt bij een cyberaanval op een militaire organisatie in Zuidoost-Azië. De verzamelde data wordt geüpload naar Google Drive met behulp van een hard-coded refresh-token.
• Grager : In april 2024 werd een nieuwe backdoor ontdekt, gericht op organisaties in Taiwan, Hong Kong en Vietnam. Het communiceert met een Command-and-Control (C&C)-server die wordt gehost op Microsoft OneDrive via de Graph API. Deze activiteit is voorlopig gekoppeld aan de vermoedelijke Chinese dreigingsactor die bekendstaat als UNC5330.
• MoonTag : een backdoor met functionaliteit voor interactie met de Graph API, toegeschreven aan een Chinees sprekende bedreigingsactor.
• Onedrivetools : Een backdoor die wordt gebruikt tegen IT-servicebedrijven in de VS en Europa. Het gebruikt de Graph API om te communiceren met een C&C-server op OneDrive, voert opdrachten uit en slaat output op op hetzelfde platform.

Hoewel het gebruik van clouddiensten voor Command and Control geen nieuwe techniek is, wordt deze de laatste tijd steeds vaker door aanvallers gebruikt.

De gevaren van achterdeurinfecties

Backdoor-malware vormt een groot gevaar voor de getroffen organisaties of gebruikers, waaronder:

• Ongeautoriseerde toegang : Backdoors bieden aanvallers verborgen toegang tot systemen, waardoor ze normale authenticatiemechanismen kunnen omzeilen. Deze ongeautoriseerde toegang kan leiden tot het compromitteren van gevoelige gegevens en kritieke systemen.
• Datadiefstal : aanvallers kunnen backdoors gebruiken om vertrouwelijke informatie te exfiltreren, waaronder persoonlijke gegevens, intellectueel eigendom en financiële gegevens. Deze verzamelde gegevens kunnen worden gebruikt voor identiteitsdiefstal, bedrijfsspionage of worden verkocht op het dark web.
• Systeemcontrole en -manipulatie : Zodra een backdoor is geïnstalleerd, kunnen aanvallers controle krijgen over de getroffen systemen. Deze controle stelt hen in staat om opdrachten uit te voeren, extra malware te installeren, systeemconfiguraties te wijzigen of gegevens te manipuleren.
• Network Compromise : Backdoors faciliteren vaak laterale beweging binnen een netwerk. Aanvallers kunnen een initiële compromise gebruiken om lateraal te bewegen over verbonden systemen, wat mogelijk hele netwerken kan beïnvloeden en de reikwijdte van hun aanval kan vergroten.
• Verstoring van de bedrijfsvoering : Backdoor-malware kan de normale bedrijfsvoering verstoren door systeemstoringen te veroorzaken, kritieke bestanden te verwijderen of te versleutelen of prestatieproblemen te veroorzaken. Dit kan leiden tot operationele downtime en financiële verliezen.
• Spionage en bewaking : Backdoors kunnen worden gebruikt voor spionage, waardoor aanvallers gebruikersactiviteiten, communicatie en interacties kunnen monitoren en registreren. Deze bewaking kan de privacy in gevaar brengen en leiden tot het lekken van gevoelige informatie.
• Reputatieschade : De aanwezigheid van backdoor-malware kan de goede naam van een organisatie beschadigen, wat leidt tot verlies van vertrouwen en zekerheid bij klanten. Dit kan langetermijneffecten hebben op zakelijke relaties en marktpositie.
• Regelgevende en juridische consequenties : Organisaties kunnen te maken krijgen met juridische en regelgevende consequenties als ze gevoelige data niet kunnen beschermen. Datalekken met backdoor-malware kunnen leiden tot boetes, juridische acties en compliance-problemen.

Kortom, backdoor-malware vormt een veelzijdige bedreiging die de beveiliging, privacy en operationele integriteit in gevaar kan brengen. Het is daarom essentieel dat organisaties en gebruikers robuuste beveiligingsmaatregelen treffen en waakzaam blijven tegen mogelijke indringers.