ГоГра Бацкдоор

У новембру 2023., јужноазијска медијска организација је била на мети користећи новооткривена позадинска врата заснована на Го познатом као ГоГра. Овај малвер, написан у програмском језику Го, користи Мицрософт Грапх АПИ за комуникацију са сервером за команду и контролу (Ц&Ц) који се налази на Мицрософт услугама поште. До сада, начин испоруке ГоГра у циљна окружења остаје непознат. Посебно, ГоГра је дизајниран за читање порука са Оутлоок налога са корисничким именом „ФНУ ЛНУ“, посебно оних са насловом који почиње са „Инпут“.

ГоГра дели сличности са претходно откривеним малвером

Садржај поруке се дешифрује коришћењем АЕС-256 алгоритма у режиму Ципхер Блоцк Цхаининг (ЦБЦ) коришћењем специфичног кључа. Након дешифровања, команде се извршавају преко цмд.еке. Резултати се затим шифрују и шаљу назад истом кориснику са насловом „Излаз“. Верује се да је ГоГра развијена од стране хакерске групе националне државе познате као Харвестер , због сличности са прилагођеним .НЕТ имплантом под називом Грапхон , који такође користи Грапх АПИ за функције командовања и контроле (Ц&Ц).

Учесници претњи све више искоришћавају легитимне услуге у облаку

Актери претњи све више искоришћавају легитимне услуге у облаку како би остали дискретни и избегли трошкове повезане са наменском инфраструктуром.

Истакнути примери овог тренда укључују:

• Фирефли : Нова алатка за ексфилтрацију података која се користи у сајбер нападу на војну организацију у југоисточној Азији. Сакупљени подаци се отпремају на Гоогле диск помоћу чврсто кодираног токена за освежавање.
• Грејџер : Нова позадинска врата откривена је у априлу 2024, усмерена на организације на Тајвану, Хонг Конгу и Вијетнаму. Комуницира са сервером за команду и контролу (Ц&Ц) који се налази на Мицрософт ОнеДриве-у преко Грапх АПИ-ја. Ова активност је условно повезана са осумњиченим кинеским актером претње познатим као УНЦ5330.
• МоонТаг : Бацкдоор са функционалношћу за интеракцију са Грапх АПИ-јем који се приписује актеру претњи који говори кинески.
• Онедриветоолс : Бацкдоор који се користи против компанија за ИТ услуге у САД и Европи. Користи Грапх АПИ за комуникацију са Ц&Ц сервером на ОнеДриве-у, извршавање команди и чување излаза на истој платформи.

Иако коришћење услуга у облаку за команду и контролу није нова техника, њено усвајање међу нападачима се у последње време повећава.

Опасности од заразних инфекција

Позадински малвер представља значајну опасност за погођене организације или кориснике, укључујући:

• Неовлашћени приступ : Бацкдоорс омогућавају нападачима скривени приступ системима, омогућавајући им да заобиђу нормалне механизме аутентификације. Овај неовлашћени приступ може довести до компромитовања осетљивих података и критичних система.
• Крађа података : Нападачи могу да користе бацкдоор да ексфилтрирају поверљиве информације, укључујући личне податке, интелектуалну својину и финансијску евиденцију. Ови прикупљени подаци могу се користити за крађу идентитета, корпоративну шпијунажу или продати на мрачном вебу.
• Контрола система и манипулација : Једном када се инсталира бацкдоор, нападачи могу добити контролу над погођеним системима. Ова контрола им омогућава да извршавају команде, инсталирају додатни малвер, мењају конфигурације система или манипулишу подацима.
• Компромис мреже : Бацкдоорс често олакшавају бочно кретање унутар мреже. Нападачи могу користити почетни компромис да се крећу бочно преко повезаних система, потенцијално утичући на читаве мреже и повећавајући обим свог напада.
• Поремећај рада : Бацкдоор злонамерни софтвер може да поремети нормалне пословне операције изазивањем системских кварова, брисањем или шифровањем критичних датотека или доводећи до проблема са перформансама. То може довести до застоја у раду и финансијских губитака.
• Шпијунажа и надзор : Бацкдоорс се могу користити за шпијунажу, омогућавајући нападачима да прате и снимају корисничке активности, комуникације и интеракције. Овај надзор може угрозити приватност и довести до цурења осетљивих информација.
• Оштећење репутације : Присуство злонамерног софтвера у позадини може да оштети добро име организације, што доводи до губитка поверења и поверења купаца. Ово може имати дугорочне ефекте на пословне односе и позицију на тржишту.
• Регулаторне и правне последице : Организације се могу суочити са правним и регулаторним последицама ако не могу да заштите осетљиве податке. Кршење података које укључује малициозни софтвер може довести до новчаних казни, правних радњи и проблема са усклађеношћу.

Укратко, позадински малвер представља вишеструку претњу која може да угрози безбедност, приватност и оперативни интегритет, због чега је од суштинског значаја за организације и кориснике да примењују робусне безбедносне мере и да буду на опрезу против потенцијалних упада.