Multi-License Discount Quote
Baza de date pentru amenințări Malware GoGra Backdoor

GoGra Backdoor

Până în Mezo în Malware, Backdoors
Tradu in:
Română

În noiembrie 2023, o organizație media din Asia de Sud a fost vizată folosind o ușă din spate bazată pe Go recent descoperită, cunoscută sub numele de GoGra. Acest malware, scris în limbajul de programare Go, folosește API-ul Microsoft Graph pentru a comunica cu un server Command-and-Control (C&C) găzduit pe serviciile de e-mail Microsoft. Până acum, metoda de livrare a GoGra către mediile țintă rămâne necunoscută. În special, GoGra este conceput pentru a citi mesajele dintr-un cont Outlook cu numele de utilizator „FNU LNU”, în special cele cu subiecte care încep cu „Input”.

GoGra împărtășește asemănări cu programele malware descoperite anterior

Conținutul mesajului este decriptat utilizând algoritmul AES-256 în modul Cipher Block Chaining (CBC) prin utilizarea unei chei specifice. După decriptare, comenzile sunt executate prin cmd.exe. Rezultatele sunt apoi criptate și trimise înapoi aceluiași utilizator cu subiectul „Ieșire”. Se crede că GoGra a fost dezvoltat de un grup de hacking al statului național cunoscut sub numele de Harvester , datorită asemănărilor sale cu un implant .NET personalizat numit Graphon , care folosește și API-ul Graph pentru funcțiile de comandă și control (C&C).

Actorii amenințărilor exploatează din ce în ce mai mult serviciile cloud legitime

Actorii amenințărilor exploatează din ce în ce mai mult serviciile cloud legitime pentru a rămâne discreți și pentru a evita costurile asociate infrastructurii dedicate.

Exemple proeminente ale acestei tendințe includ:

  • Firefly : un nou instrument de exfiltrare a datelor folosit într-un atac cibernetic împotriva unei organizații militare din Asia de Sud-Est. Datele culese sunt încărcate în Google Drive folosind un simbol de reîmprospătare codificat.
  • Grager : O nouă ușă din spate a fost descoperită în aprilie 2024, care vizează organizații din Taiwan, Hong Kong și Vietnam. Acesta comunică cu un server de comandă și control (C&C) găzduit pe Microsoft OneDrive prin API-ul Graph. Această activitate este legată provizoriu de presupusul actor chinez de amenințare cunoscut sub numele de UNC5330.
  • MoonTag : o ușă din spate cu funcționalitate pentru interacțiunea cu API-ul Graph, atribuită unui actor de amenințare vorbitor de chineză.
  • Onedrivetools : O ușă din spate folosită împotriva companiilor de servicii IT din SUA și Europa. Utilizează API-ul Graph pentru a comunica cu un server C&C de pe OneDrive, executând comenzi și salvând rezultatul pe aceeași platformă.

Deși utilizarea serviciilor cloud pentru Comandă și Control nu este o tehnică nouă, adoptarea acesteia în rândul atacatorilor a crescut recent.

Pericolele infecțiilor cu ușile din spate

Un malware de tip backdoor prezintă pericole semnificative pentru organizațiile sau utilizatorii afectați, inclusiv:

  • Acces neautorizat : ușile din spate oferă atacatorilor acces ascuns la sisteme, permițându-le să ocolească mecanismele normale de autentificare. Acest acces neautorizat poate duce la compromiterea datelor sensibile și a sistemelor critice.
  • Furtul de date : Atacatorii pot folosi ușile din spate pentru a exfiltra informații confidențiale, inclusiv date personale, proprietate intelectuală și înregistrări financiare. Aceste date culese pot fi folosite pentru furt de identitate, spionaj corporativ sau vândute pe Dark Web.
  • Controlul și manipularea sistemului : odată ce o ușă din spate este instalată, atacatorii pot obține controlul asupra sistemelor afectate. Acest control le permite să execute comenzi, să instaleze programe malware suplimentare, să modifice configurațiile sistemului sau să manipuleze date.
  • Compromisul rețelei : ușile din spate facilitează adesea mișcarea laterală în cadrul unei rețele. Atacatorii pot folosi un compromis inițial pentru a se deplasa lateral între sistemele conectate, afectând potențial rețele întregi și mărind sfera atacului lor.
  • Întreruperea operațiunilor : malware-ul Backdoor poate perturba operațiunile normale de afaceri provocând defecțiuni ale sistemului, ștergerea sau criptarea fișierelor critice sau ducând la probleme de performanță. Acest lucru poate duce la opriri operaționale și pierderi financiare.
  • Spionaj și Supraveghere : ușile din spate pot fi folosite pentru spionaj, permițând atacatorilor să monitorizeze și să înregistreze activitățile utilizatorului, comunicările și interacțiunile. Această supraveghere poate compromite confidențialitatea și poate duce la scurgerea de informații sensibile.
  • Daune reputației : prezența malware-ului backdoor poate dăuna numelui bun al unei organizații, ducând la pierderea încrederii clienților. Acest lucru poate avea efecte pe termen lung asupra relațiilor de afaceri și a poziției pe piață.
  • Consecințe de reglementare și juridice : organizațiile se pot confrunta cu consecințe legale și de reglementare dacă nu pot proteja datele sensibile. Încălcările de date care implică programe malware backdoor pot duce la amenzi, acțiuni legale și probleme de conformitate.

Pe scurt, malware-ul backdoor prezintă o amenințare cu mai multe fațete care poate compromite securitatea, confidențialitatea și integritatea operațională, făcând esențial pentru organizații și utilizatori să utilizeze măsuri de securitate robuste și să rămână vigilenți împotriva potențialelor intruziuni.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Fake Warning Messages
29,400
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...