Tylne wejście GoGra

W listopadzie 2023 r. południowoazjatycka organizacja medialna została zaatakowana przy użyciu nowo odkrytego backdoora opartego na Go, znanego jako GoGra. To złośliwe oprogramowanie, napisane w języku programowania Go, wykorzystuje interfejs API Microsoft Graph do komunikacji z serwerem Command-and-Control (C&C) hostowanym w usługach pocztowych Microsoft. Jak dotąd metoda dostarczania GoGra do środowisk docelowych pozostaje nieznana. Co ciekawe, GoGra została zaprojektowana do odczytywania wiadomości z konta Outlook o nazwie użytkownika „FNU LNU”, w szczególności tych, których wiersze tematu zaczynają się od „Input”.

GoGra ma podobieństwa do wcześniej odkrytego złośliwego oprogramowania

Treść wiadomości jest odszyfrowywana za pomocą algorytmu AES-256 w trybie Cipher Block Chaining (CBC) przy użyciu określonego klucza. Po odszyfrowaniu polecenia są wykonywane za pomocą cmd.exe. Wyniki są następnie szyfrowane i odsyłane do tego samego użytkownika z tematem „Output”. Uważa się, że GoGra została opracowana przez państwową grupę hakerską znaną jako Harvester , ze względu na podobieństwo do niestandardowego implantu .NET o nazwie Graphon , który również wykorzystuje Graph API do funkcji Command-and-Control (C&C).

Aktorzy zagrożeń coraz częściej wykorzystują legalne usługi w chmurze

Coraz częściej atakujący wykorzystują legalne usługi w chmurze, aby zachować dyskrecję i uniknąć kosztów związanych z dedykowaną infrastrukturą.

Do wybitnych przykładów tego trendu zalicza się:

• Firefly : Nowe narzędzie do eksfiltracji danych używane w cyberataku na organizację wojskową w Azji Południowo-Wschodniej. Zebrane dane są przesyłane do Dysku Google za pomocą zakodowanego na stałe tokena odświeżania.
• Grager : W kwietniu 2024 r. odkryto nowe tylne wejście, którego celem są organizacje na Tajwanie, w Hongkongu i Wietnamie. Komunikuje się ono z serwerem Command-and-Control (C&C) hostowanym w usłudze Microsoft OneDrive za pośrednictwem interfejsu API Graph. Ta aktywność jest wstępnie powiązana z podejrzewanym chińskim aktorem zagrożenia znanym jako UNC5330.
• MoonTag : tylne wejście umożliwiające interakcję z interfejsem API Graph, przypisywane chińskojęzycznemu podmiotowi stanowiącemu zagrożenie.
• Onedrivetools : Tylne wejście używane przeciwko firmom świadczącym usługi IT w USA i Europie. Wykorzystuje Graph API do komunikacji z serwerem C&C w OneDrive, wykonując polecenia i zapisując dane wyjściowe na tej samej platformie.

Chociaż korzystanie z usług w chmurze do celów dowodzenia i kontroli nie jest nową techniką, ostatnio obserwuje się jej coraz większą popularność wśród atakujących.

Niebezpieczeństwa infekcji tylnymi drzwiami

Oprogramowanie typu backdoor stwarza poważne zagrożenie dla zainfekowanych organizacji lub użytkowników, w tym:

• Nieautoryzowany dostęp : Backdoory zapewniają atakującym ukryty dostęp do systemów, umożliwiając im ominięcie normalnych mechanizmów uwierzytelniania. Ten nieautoryzowany dostęp może prowadzić do naruszenia poufnych danych i krytycznych systemów.
• Kradzież danych : Atakujący mogą używać tylnych drzwi, aby wykraść poufne informacje, w tym dane osobowe, własność intelektualną i zapisy finansowe. Zebrane dane mogą być wykorzystane do kradzieży tożsamości, szpiegostwa korporacyjnego lub sprzedaży w dark web.
• Kontrola i manipulacja systemem : Po zainstalowaniu backdoora atakujący mogą uzyskać kontrolę nad dotkniętymi systemami. Ta kontrola pozwala im wykonywać polecenia, instalować dodatkowe złośliwe oprogramowanie, zmieniać konfiguracje systemu lub manipulować danymi.
• Naruszenie sieci : Backdoory często ułatwiają ruch boczny w sieci. Atakujący mogą wykorzystać początkowy kompromis, aby poruszać się bocznie po połączonych systemach, potencjalnie wpływając na całe sieci i zwiększając zakres ataku.
• Zakłócenie operacji : złośliwe oprogramowanie typu backdoor może zakłócić normalne operacje biznesowe, powodując awarie systemu, usuwając lub szyfrując krytyczne pliki lub prowadząc do problemów z wydajnością. Może to skutkować przestojem operacyjnym i stratami finansowymi.
• Szpiegostwo i nadzór : Backdoory mogą być używane do szpiegostwa, umożliwiając atakującym monitorowanie i rejestrowanie aktywności użytkowników, komunikacji i interakcji. Ten nadzór może naruszyć prywatność i doprowadzić do wycieku poufnych informacji.
• Uszkodzenie reputacji : Obecność złośliwego oprogramowania typu backdoor może zaszkodzić dobremu imieniu organizacji, co prowadzi do utraty zaufania klientów. Może to mieć długofalowe skutki dla relacji biznesowych i pozycji rynkowej.
• Konsekwencje prawne i regulacyjne : Organizacje mogą ponieść konsekwencje prawne i regulacyjne, jeśli nie będą w stanie chronić poufnych danych. Naruszenia danych z udziałem złośliwego oprogramowania typu backdoor mogą skutkować grzywnami, działaniami prawnymi i problemami ze zgodnością.

Podsumowując, złośliwe oprogramowanie typu backdoor stanowi wieloaspektowe zagrożenie, które może naruszyć bezpieczeństwo, prywatność i integralność operacyjną, dlatego organizacje i użytkownicy muszą stosować solidne środki bezpieczeństwa i zachować czujność na potencjalne włamania.