Multi-License Discount Quote
База данных угроз Malware Бэкдор GoGra

Бэкдор GoGra

К Mezo году в Malware, Backdoors году
Перевести на:
Русский

В ноябре 2023 года южноазиатская медиаорганизация подверглась атаке с использованием недавно обнаруженного бэкдора на основе Go, известного как GoGra. Эта вредоносная программа, написанная на языке программирования Go, использует API Microsoft Graph для связи с сервером командования и управления (C&C), размещенным на почтовых службах Microsoft. До сих пор метод доставки GoGra в целевые среды остается неизвестным. В частности, GoGra предназначен для чтения сообщений из учетной записи Outlook с именем пользователя «FNU LNU», особенно тех, тема которых начинается с «Input».

GoGra имеет сходство с ранее обнаруженным вредоносным ПО

Содержимое сообщения расшифровывается с помощью алгоритма AES-256 в режиме цепочки блоков шифра (CBC) с использованием определенного ключа. После расшифровки команды выполняются через cmd.exe. Затем результаты шифруются и отправляются обратно тому же пользователю с темой «Вывод». Считается, что GoGra разработана хакерской группой национального государства, известной как Harvester , из-за его сходства с пользовательским имплантом .NET под названием Graphon , который также использует API Graph для функций Command-and-Control (C&C).

Злоумышленники все чаще используют легитимные облачные сервисы

Злоумышленники все чаще используют легитимные облачные сервисы, чтобы оставаться незамеченными и избегать расходов, связанных с выделенной инфраструктурой.

Яркие примеры этой тенденции включают в себя:

  • Firefly : новый инструмент для извлечения данных, используемый в кибератаке против военной организации в Юго-Восточной Азии. Собранные данные загружаются на Google Drive с использованием жестко закодированного токена обновления.
  • Grager : В апреле 2024 года был обнаружен новый бэкдор, нацеленный на организации в Тайване, Гонконге и Вьетнаме. Он взаимодействует с сервером Command-and-Control (C&C), размещенным на Microsoft OneDrive, через API Graph. Эта активность предварительно связана с предполагаемым китайским злоумышленником, известным как UNC5330.
  • MoonTag : бэкдор с функционалом для взаимодействия с API Graph, приписываемый злоумышленнику, говорящему на китайском языке.
  • Onedrivetools : бэкдор, используемый против компаний, предоставляющих ИТ-услуги в США и Европе. Он использует API Graph для связи с сервером C&C на OneDrive, выполняя команды и сохраняя вывод на той же платформе.

Хотя использование облачных сервисов для управления и контроля не является новым методом, в последнее время злоумышленники все чаще прибегают к его использованию.

Опасности заражения через бэкдор

Вредоносное ПО бэкдора представляет значительную опасность для затронутых организаций или пользователей, в том числе:

  • Несанкционированный доступ : бэкдоры предоставляют злоумышленникам скрытый доступ к системам, позволяя им обходить обычные механизмы аутентификации. Этот несанкционированный доступ может привести к компрометации конфиденциальных данных и критических систем.
  • Кража данных : злоумышленники могут использовать бэкдоры для кражи конфиденциальной информации, включая персональные данные, интеллектуальную собственность и финансовые записи. Эти собранные данные могут быть использованы для кражи личных данных, корпоративного шпионажа или проданы в даркнете.
  • Управление системой и манипуляция : После установки бэкдора злоумышленники могут получить контроль над затронутыми системами. Этот контроль позволяет им выполнять команды, устанавливать дополнительные вредоносные программы, изменять конфигурации системы или манипулировать данными.
  • Компрометация сети : бэкдоры часто способствуют боковому перемещению внутри сети. Злоумышленники могут использовать начальную компрометацию для бокового перемещения по подключенным системам, потенциально затрагивая целые сети и увеличивая масштаб своей атаки.
  • Нарушение операций : вредоносное ПО Backdoor может нарушить нормальные бизнес-операции, вызывая сбои в работе системы, удаляя или шифруя критические файлы или приводя к проблемам с производительностью. Это может привести к простоям в работе и финансовым потерям.
  • Шпионаж и наблюдение : бэкдоры могут использоваться для шпионажа, позволяя злоумышленникам отслеживать и записывать действия, сообщения и взаимодействия пользователей. Такое наблюдение может поставить под угрозу конфиденциальность и привести к утечке конфиденциальной информации.
  • Ущерб репутации : Наличие вредоносного бэкдора может нанести ущерб доброму имени организации, что приведет к потере доверия и уверенности клиентов. Это может иметь долгосрочные последствия для деловых отношений и положения на рынке.
  • Нормативные и правовые последствия : организации могут столкнуться с правовыми и нормативными последствиями, если они не смогут защитить конфиденциальные данные. Утечки данных, связанные с вредоносным ПО бэкдора, могут привести к штрафам, судебным искам и проблемам с соблюдением требований.

Подводя итог, можно сказать, что вредоносное ПО бэкдор представляет собой многогранную угрозу, которая может поставить под угрозу безопасность, конфиденциальность и операционную целостность, поэтому организациям и пользователям крайне важно применять надежные меры безопасности и сохранять бдительность в отношении потенциальных вторжений.

В тренде

Мошенничество с ранними пользователями LYRA

Phishing, Spam
Мошенничество с ранними пользователями LYRA — это мошенническая схема, в которой мошенники создали поддельную копию законного веб-сайта LYRA (lyra[.]finance). Целью этого фейкового сайта Register-lyra[.]finance является обманом заставить ничего не подозревающих посетителей совершить действия, которые приведут к потере их криптовалютных средств. Пользователям настоятельно рекомендуется избегать...

Наиболее просматриваемые

Загрузка...