GoGra Backdoor
Em novembro de 2023, uma organização de mídia do sul da Ásia foi alvo de um backdoor baseado em Go recém-descoberto, conhecido como GoGra. Este malware, escrito na linguagem de programação Go, aproveita a API Microsoft Graph para se comunicar com um servidor de Comando e Controle (C&C) hospedado em serviços de e-mail da Microsoft. Até agora, o método de entrega do GoGra aos ambientes de destino permanece desconhecido. Notavelmente, o GoGra foi projetado para ler mensagens de uma conta do Outlook com o nome de usuário ‘FNU LNU’, especificamente aquelas com linhas de assunto começando com ‘Input’.
Índice
O GoGra Compartilha Semelhanças com um Malware Descoberto Anteriormente
O conteúdo da mensagem é descriptografado usando o algoritmo AES-256 no modo Cipher Block Chaining (CBC) usando uma chave específica. Após a descriptografia, os comandos são executados via cmd.exe. Os resultados são então criptografados e enviados de volta ao mesmo usuário com o assunto 'Saída'. Acredita-se que o GoGra seja desenvolvido por um grupo de hackers estatal conhecido como Harvester, devido às suas semelhanças com um implante .NET personalizado chamado Graphon, que também usa a API Graph para funções de Comando e Controle (C&C).
Os Autores de Ameaças Exploram Cada Vez Mais Legítimos Serviços da Nuvem
Os agentes de ameaças exploram cada vez mais serviços de nuvem legítimos para permanecerem discretos e evitarem os custos associados à infraestrutura dedicada.
Exemplos proeminentes desta tendência incluem:
- Firefly : Uma nova ferramenta de exfiltração de dados usada em um ataque cibernético contra uma organização militar no Sudeste Asiático. Os dados coletados são carregados no Google Drive usando um token de atualização codificado.
- Grager : Um novo backdoor foi descoberto em abril de 2024, visando organizações em Taiwan, Hong Kong e Vietnã. Ele se comunica com um servidor de comando e controle (C&C) hospedado no Microsoft OneDrive por meio da API Graph. Esta atividade está provisoriamente ligada ao suposto ator de ameaça chinês conhecido como UNC5330.
- MoonTag : um backdoor com funcionalidade para interagir com a API Graph atribuída a um ator de ameaça que fala chinês.
- Onedrivetools : um backdoor usado contra empresas de serviços de TI nos EUA e na Europa. Ele emprega a API Graph para se comunicar com um servidor C&C no OneDrive, executando comandos e salvando a saída na mesma plataforma.
Embora o uso de serviços em nuvem para comando e controle não seja uma técnica nova, sua adoção entre os invasores tem aumentado recentemente.
Os Perigos das Infecções por um Backdoor
Um malware backdoor representa perigos significativos para organizações ou usuários afetados, incluindo:
- Acesso não autorizado : Backdoors fornecem aos invasores acesso oculto aos sistemas, permitindo-lhes contornar os mecanismos normais de autenticação. Este acesso não autorizado pode comprometer dados confidenciais e sistemas críticos.
- Roubo de dados : Os invasores podem usar backdoors para exfiltrar informações confidenciais, incluindo dados pessoais, propriedade intelectual e registros financeiros. Esses dados coletados podem ser usados para roubo de identidade, espionagem corporativa ou vendidos na dark Web.
- Controle e manipulação do sistema : Depois que um backdoor é instalado, os invasores podem obter controle sobre os sistemas afetados. Este controle permite que executem comandos, instalem malware adicional, alterem configurações do sistema ou manipulem dados.
- Compromisso de rede : Backdoors geralmente facilitam o movimento lateral dentro de uma rede. Os invasores podem usar um compromisso inicial para se moverem lateralmente entre sistemas conectados, afetando potencialmente redes inteiras e aumentando o escopo do ataque.
- Interrupção de operações : O malware backdoor pode interromper as operações comerciais normais, causando falhas no sistema, excluindo ou criptografando arquivos críticos ou levando a problemas de desempenho. Isso pode resultar em paralisações operacionais e perdas financeiras.
- Espionagem e Vigilância : Backdoors podem ser usados para espionagem, permitindo que invasores monitorem e registrem atividades, comunicações e interações de usuários. Esta vigilância pode comprometer a privacidade e levar à fuga de informações sensíveis.
- Danos à reputação : A presença de malware backdoor pode prejudicar o bom nome de uma organização, levando à perda da confiança do cliente. Isto pode ter efeitos a longo prazo nas relações comerciais e na posição de mercado.
- Consequências regulatórias e legais : As organizações podem enfrentar consequências legais e regulatórias se não conseguirem proteger dados confidenciais. Violações de dados envolvendo malware backdoor podem levar a multas, ações legais e problemas de conformidade.
Em resumo, o malware backdoor apresenta uma ameaça multifacetada que pode comprometer a segurança, a privacidade e a integridade operacional, tornando essencial que as organizações e os utilizadores empreguem medidas de segurança robustas e permaneçam vigilantes contra potenciais intrusões.
