Multi-License Discount Quote
Hotdatabas Malware GoGra bakdörr

GoGra bakdörr

Med Mezo år Malware, Backdoors
Översätt till:
Svenska

I november 2023 blev en sydasiatisk medieorganisation riktad med en nyupptäckt Go-baserad bakdörr känd som GoGra. Denna skadliga programvara, skriven i programmeringsspråket Go, använder Microsoft Graph API för att kommunicera med en Command-and-Control-server (C&C) som är värd för Microsofts e-posttjänster. Hittills är leveransmetoden för GoGra till målmiljöerna okänd. GoGra är särskilt utformat för att läsa meddelanden från ett Outlook-konto med användarnamnet 'FNU LNU', speciellt de med ämnesrader som börjar med 'Input'.

GoGra delar likheter med tidigare upptäckt skadlig programvara

Meddelandeinnehållet dekrypteras med AES-256-algoritmen i Cipher Block Chaining-läge (CBC) genom att använda en specifik nyckel. Efter dekryptering exekveras kommandona via cmd.exe. Resultaten krypteras sedan och skickas tillbaka till samma användare med ämnet 'Utdata'. GoGra tros vara utvecklad av en nationalstatlig hackningsgrupp känd som Harvester , på grund av dess likheter med ett anpassat .NET-implantat som heter Graphon , som också använder Graph API för Command-and-Control (C&C) funktioner.

Hotaktörer utnyttjar i allt högre grad legitima molntjänster

Hotaktörer utnyttjar allt mer legitima molntjänster för att förbli diskreta och undvika kostnaderna förknippade med dedikerad infrastruktur.

Framträdande exempel på denna trend inkluderar:

  • Firefly : Ett nytt dataexfiltreringsverktyg som används i en cyberattack mot en militär organisation i Sydostasien. Den insamlade informationen laddas upp till Google Drive med hjälp av en hårdkodad uppdateringstoken.
  • Grager : En ny bakdörr upptäcktes i april 2024, riktad mot organisationer i Taiwan, Hongkong och Vietnam. Den kommunicerar med en Command-and-Control-server (C&C) på Microsoft OneDrive via Graph API. Denna aktivitet är preliminärt kopplad till den misstänkta kinesiska hotaktören känd som UNC5330.
  • MoonTag : En bakdörr med funktionalitet för interaktion med Graph API som tillskrivs en kinesisktalande hotaktör.
  • Onedrivetools : En bakdörr som används mot IT-tjänsteföretag i USA och Europa. Den använder Graph API för att kommunicera med en C&C-server på OneDrive, exekvera kommandon och spara utdata till samma plattform.

Även om det inte är en ny teknik att använda molntjänster för kommando och kontroll, har användningen av det bland angripare ökat på senare tid.

Farorna med bakdörrsinfektioner

En bakdörr skadlig programvara utgör betydande faror för berörda organisationer eller användare, inklusive:

  • Obehörig åtkomst : Bakdörrar ger angripare dold åtkomst till system, vilket gör att de kan kringgå normala autentiseringsmekanismer. Denna obehöriga åtkomst kan leda till att känsliga data och kritiska system äventyras.
  • Datastöld : Angripare kan använda bakdörrar för att exfiltrera konfidentiell information, inklusive personuppgifter, immateriella rättigheter och finansiella register. Denna insamlade data kan användas för identitetsstöld, företagsspionage eller säljas på den mörka webben.
  • Systemkontroll och manipulation : När en bakdörr väl har installerats kan angripare få kontroll över påverkade system. Denna kontroll låter dem utföra kommandon, installera ytterligare skadlig programvara, ändra systemkonfigurationer eller manipulera data.
  • Nätverkskompromiss : Bakdörrar underlättar ofta sidorörelse inom ett nätverk. Angripare kan använda en första kompromiss för att flytta i sidled över anslutna system, vilket potentiellt påverkar hela nätverk och ökar omfattningen av deras attack.
  • Driftavbrott : Skadlig programvara bakom dörren kan störa normal affärsverksamhet genom att orsaka systemfel, radera eller kryptera viktiga filer eller leda till prestandaproblem. Detta kan resultera i driftstopp och ekonomiska förluster.
  • Spionage och övervakning : Bakdörrar kan användas för spionage, vilket gör att angripare kan övervaka och registrera användaraktiviteter, kommunikation och interaktioner. Denna övervakning kan äventyra integriteten och leda till läckage av känslig information.
  • Skada på rykte : Förekomsten av bakdörr skadlig programvara kan skada en organisations goda namn, vilket leder till att kunderna förlorar förtroende och förtroende. Detta kan få långsiktiga effekter på affärsrelationer och marknadsposition.
  • Regulatoriska och juridiska konsekvenser : Organisationer kan möta juridiska och regulatoriska konsekvenser om de inte kan skydda känsliga uppgifter. Dataintrång som involverar bakdörr skadlig programvara kan leda till böter, rättsliga åtgärder och efterlevnadsproblem.

Sammanfattningsvis utgör bakdörr skadlig programvara ett mångfacetterat hot som kan äventyra säkerhet, integritet och operativ integritet, vilket gör det viktigt för organisationer och användare att använda robusta säkerhetsåtgärder och vara vaksamma mot potentiella intrång.

Trendigt

Mest sedda

Läser in...