Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Malware GoGra Backdoor

GoGra Backdoor

Nga MezoMalware, Backdoors
Përkthe në:
Shqip

Në nëntor 2023, një organizatë mediatike e Azisë Jugore u vu në shënjestër duke përdorur një derë të pasme të sapo zbuluar me bazë në Go, e njohur si GoGra. Ky malware, i shkruar në gjuhën e programimit Go, përdor API-në e Microsoft Graph për të komunikuar me një server Command-and-Control (C&C) të vendosur në shërbimet e postës së Microsoft. Deri më tani, mënyra e dërgimit të GoGra në mjediset e synuara mbetet e panjohur. Veçanërisht, GoGra është krijuar për të lexuar mesazhe nga një llogari Outlook me emrin e përdoruesit 'FNU LNU', veçanërisht ato me linjat e subjektit që fillojnë me 'Input'.

GoGra ndan ngjashmëri me malware të zbuluar më parë

Përmbajtja e mesazhit deshifrohet duke përdorur algoritmin AES-256 në modalitetin e zinxhirit të bllokut të kodit (CBC) duke përdorur një çelës specifik. Pas deshifrimit, komandat ekzekutohen përmes cmd.exe. Rezultatet më pas kodohen dhe i dërgohen të njëjtit përdorues me temën 'Output'. GoGra besohet të jetë zhvilluar nga një grup hakerimi i shtetit-komb i njohur si Harvester , për shkak të ngjashmërive të tij me një implant të personalizuar .NET të quajtur Graphon , i cili gjithashtu përdor Graph API për funksionet e komandës dhe kontrollit (C&C).

Aktorët e kërcënimit gjithnjë e më shumë shfrytëzojnë shërbimet legjitime të resë kompjuterike

Aktorët e kërcënimit po shfrytëzojnë gjithnjë e më shumë shërbimet e ligjshme cloud për të qëndruar të matur dhe për të shmangur kostot që lidhen me infrastrukturën e dedikuar.

Shembuj të shquar të këtij trendi përfshijnë:

  • Firefly : Një mjet i ri për nxjerrjen e të dhënave të përdorura në një sulm kibernetik kundër një organizate ushtarake në Azinë Juglindore. Të dhënat e grumbulluara ngarkohen në Google Drive duke përdorur një kod rifreskimi të koduar.
  • Grager : Një derë e re e pasme u zbulua në prill 2024, duke synuar organizata në Tajvan, Hong Kong dhe Vietnam. Ai komunikon me një server Command-and-Control (C&C) të pritur në Microsoft OneDrive nëpërmjet Graph API. Ky aktivitet është i lidhur paraprakisht me aktorin e dyshuar të kërcënimit kinez të njohur si UNC5330.
  • MoonTag : Një derë e pasme me funksionalitet për ndërveprim me Graph API që i atribuohet një aktori kërcënimi që flet kinezisht.
  • Onedrivetools : Një derë e pasme e përdorur kundër kompanive të shërbimeve të IT në SHBA dhe Evropë. Ai përdor Graph API për të komunikuar me një server C&C në OneDrive, duke ekzekutuar komanda dhe duke ruajtur daljen në të njëjtën platformë.

Ndërsa përdorimi i shërbimeve cloud për Komandën dhe Kontrollin nuk është një teknikë e re, miratimi i saj nga sulmuesit është rritur kohët e fundit.

Rreziqet e infeksioneve të pasme

Një malware me dyer të pasme paraqet rreziqe të konsiderueshme për organizatat ose përdoruesit e prekur, duke përfshirë:

  • Qasje e paautorizuar : Backdoors u ofrojnë sulmuesve akses të fshehur në sisteme, duke i lejuar ata të anashkalojnë mekanizmat normalë të vërtetimit. Ky akses i paautorizuar mund të çojë në kompromentimin e të dhënave të ndjeshme dhe sistemeve kritike.
  • Vjedhja e të dhënave : Sulmuesit mund të përdorin dyer të pasme për të shfrytëzuar informacione konfidenciale, duke përfshirë të dhënat personale, pronën intelektuale dhe të dhënat financiare. Këto të dhëna të grumbulluara mund të përdoren për vjedhje identiteti, spiunazh të korporatave ose të shiten në ueb-in e errët.
  • Kontrolli dhe Manipulimi i Sistemit : Pasi të instalohet një derë e pasme, sulmuesit mund të marrin kontrollin mbi sistemet e prekura. Ky kontroll i lejon ata të ekzekutojnë komanda, të instalojnë malware shtesë, të ndryshojnë konfigurimet e sistemit ose të manipulojnë të dhënat.
  • Kompromisi i rrjetit : Dyert e pasme shpesh lehtësojnë lëvizjen anësore brenda një rrjeti. Sulmuesit mund të përdorin një kompromis fillestar për të lëvizur anash nëpër sisteme të lidhura, duke ndikuar potencialisht në rrjete të tëra dhe duke rritur shtrirjen e sulmit të tyre.
  • Ndërprerja e operacioneve : Malware i prapambetur mund të prishë operacionet normale të biznesit duke shkaktuar dështime të sistemit, duke fshirë ose enkriptuar skedarë kritikë ose duke çuar në probleme të performancës. Kjo mund të rezultojë në ndërprerje operative dhe humbje financiare.
  • Spiunazhi dhe Mbikëqyrja : Dyert e pasme mund të përdoren për spiunazh, duke i lejuar sulmuesit të monitorojnë dhe regjistrojnë aktivitetet e përdoruesit, komunikimet dhe ndërveprimet. Kjo mbikëqyrje mund të rrezikojë privatësinë dhe të çojë në rrjedhjen e informacionit të ndjeshëm.
  • Dëmtimi i reputacionit : Prania e malware-it të pasme mund të dëmtojë emrin e mirë të një organizate, duke çuar në humbjen e besimit dhe besimit të klientit. Kjo mund të ketë efekte afatgjata në marrëdhëniet e biznesit dhe pozicionin e tregut.
  • Pasojat rregullatore dhe ligjore : Organizatat mund të përballen me pasoja ligjore dhe rregullatore nëse nuk mund të mbrojnë të dhënat e ndjeshme. Shkeljet e të dhënave që përfshijnë malware të pasme mund të çojnë në gjoba, veprime ligjore dhe probleme të pajtueshmërisë.

Si përmbledhje, malware i pasme paraqet një kërcënim të shumëanshëm që mund të komprometojë sigurinë, privatësinë dhe integritetin operacional, duke e bërë thelbësore që organizatat dhe përdoruesit të përdorin masa të forta sigurie dhe të qëndrojnë vigjilentë ndaj ndërhyrjeve të mundshme.

Në trend

Më e shikuara

"Nëse jeni 18 vjeç, prekni Lejo".

Fake Warning Messages
29,400
Pop-up-et "Nëse jeni 18 vjeç Tap Allow" janë një lloj reklame pop-up që shfaqet në ekranin e një përdoruesi kur shfleton internetin. Këto dritare kërcyese mund të jenë mjaft alarmante për përdoruesit pasi ata i nxisin të klikojnë në butonin "lejo" për të vazhduar përdorimin e faqes së internetit në të cilën janë aktualisht. Këto pop-ups shoqërohen me programe të tilla të padëshiruara si adware...
Po ngarkohet...