โกกรา แบ็คดอร์
ในเดือนพฤศจิกายน 2023 องค์กรสื่อแห่งหนึ่งในเอเชียใต้ถูกโจมตีโดยใช้แบ็คดอร์ที่เพิ่งค้นพบใหม่บน GoGra มัลแวร์นี้เขียนด้วยภาษาโปรแกรม Go และใช้ประโยชน์จาก Microsoft Graph API เพื่อสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C&C) ที่โฮสต์บนบริการอีเมลของ Microsoft จนถึงขณะนี้ วิธีการส่ง GoGra ไปยังสภาพแวดล้อมเป้าหมายยังไม่เป็นที่ทราบแน่ชัด โดยเฉพาะอย่างยิ่ง GoGra ออกแบบมาเพื่ออ่านข้อความจากบัญชี Outlook ที่มีชื่อผู้ใช้ว่า 'FNU LNU' โดยเฉพาะข้อความที่มีบรรทัดหัวเรื่องเริ่มต้นด้วย 'Input'
สารบัญ
GoGra แบ่งปันความคล้ายคลึงกับมัลแวร์ที่ไม่เคยเปิดเผยมาก่อน
เนื้อหาของข้อความจะถูกถอดรหัสโดยใช้อัลกอริทึม AES-256 ในโหมด Cipher Block Chaining (CBC) โดยใช้คีย์เฉพาะ หลังจากถอดรหัสแล้ว คำสั่งจะถูกดำเนินการผ่าน cmd.exe จากนั้นผลลัพธ์จะถูกเข้ารหัสและส่งกลับไปยังผู้ใช้เดิมที่มีหัวเรื่องว่า 'Output' เชื่อกันว่า GoGra ได้รับการพัฒนาโดยกลุ่มแฮ็กเกอร์ระดับประเทศที่รู้จักกันในชื่อ Harvester เนื่องจากมีความคล้ายคลึงกับโปรแกรมฝัง .NET แบบกำหนดเองที่เรียกว่า Graphon ซึ่งยังใช้ Graph API สำหรับฟังก์ชัน Command-and-Control (C&C) อีกด้วย
ผู้ก่อภัยคุกคามใช้ประโยชน์จากบริการคลาวด์ที่ถูกกฎหมายเพิ่มมากขึ้น
ผู้ก่อภัยคุกคามกำลังแสวงหาประโยชน์จากบริการคลาวด์ที่ถูกกฎหมายมากขึ้นเรื่อยๆ เพื่อรักษาความเป็นส่วนตัวและหลีกเลี่ยงต้นทุนที่เกี่ยวข้องกับโครงสร้างพื้นฐานเฉพาะ
ตัวอย่างที่โดดเด่นของแนวโน้มนี้ ได้แก่:
- Firefly : เครื่องมือขโมยข้อมูลใหม่ที่ใช้ในการโจมตีทางไซเบอร์ต่อองค์กรทางทหารในเอเชียตะวันออกเฉียงใต้ ข้อมูลที่รวบรวมมาจะถูกอัปโหลดไปยัง Google Drive โดยใช้โทเค็นรีเฟรชแบบฮาร์ดโค้ด
- Grager : พบแบ็คดอร์ใหม่ในเดือนเมษายน 2024 โดยกำหนดเป้าหมายองค์กรในไต้หวัน ฮ่องกง และเวียดนาม แบ็คดอร์นี้สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C&C) ที่โฮสต์บน Microsoft OneDrive ผ่าน Graph API กิจกรรมนี้มีความเชื่อมโยงเบื้องต้นกับผู้ต้องสงสัยว่าเป็นผู้ก่อภัยคุกคามชาวจีนที่รู้จักกันในชื่อ UNC5330
- MoonTag : แบ็คดอร์ที่มีฟังก์ชันในการโต้ตอบกับ Graph API ซึ่งมาจากผู้ก่อภัยคุกคามที่พูดภาษาจีน
- Onedrivetools : แบ็กดอร์ที่ใช้โจมตีบริษัทผู้ให้บริการด้านไอทีในสหรัฐอเมริกาและยุโรป โดยใช้ Graph API เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C บน OneDrive โดยดำเนินการคำสั่งและบันทึกผลลัพธ์ไปยังแพลตฟอร์มเดียวกัน
แม้ว่าการใช้บริการคลาวด์สำหรับการสั่งการและการควบคุมจะไม่ใช่เทคนิคใหม่ แต่การนำมาใช้ในหมู่ผู้โจมตีก็เพิ่มมากขึ้นในช่วงไม่นานมานี้
อันตรายจากการติดไวรัสจากประตูหลัง
มัลแวร์แบ็คดอร์ก่อให้เกิดอันตรายอย่างมากต่อองค์กรหรือผู้ใช้ที่ได้รับผลกระทบ รวมถึง:
- การเข้าถึงโดยไม่ได้รับอนุญาต : แบ็คดอร์ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยซ่อนไว้ ทำให้สามารถหลีกเลี่ยงกลไกการตรวจสอบสิทธิ์ปกติได้ การเข้าถึงโดยไม่ได้รับอนุญาตนี้อาจนำไปสู่การประนีประนอมข้อมูลสำคัญและระบบสำคัญ
- การโจรกรรมข้อมูล : ผู้โจมตีสามารถใช้ช่องทางลับในการขโมยข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนบุคคล ทรัพย์สินทางปัญญา และบันทึกทางการเงิน ข้อมูลที่รวบรวมมาอาจนำไปใช้ในการโจรกรรมข้อมูลประจำตัว จารกรรมองค์กร หรือขายบนเว็บมืด
- การควบคุมและการจัดการระบบ : เมื่อติดตั้งแบ็คดอร์แล้ว ผู้โจมตีจะสามารถควบคุมระบบที่ได้รับผลกระทบได้ การควบคุมนี้ช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่ง ติดตั้งมัลแวร์เพิ่มเติม เปลี่ยนแปลงการกำหนดค่าระบบ หรือจัดการข้อมูล
- การบุกรุกเครือข่าย : แบ็กดอร์มักอำนวยความสะดวกในการเคลื่อนที่ในแนวนอนภายในเครือข่าย ผู้โจมตีสามารถใช้การบุกรุกเบื้องต้นเพื่อเคลื่อนที่ในแนวนอนข้ามระบบที่เชื่อมต่อ ซึ่งอาจส่งผลกระทบต่อเครือข่ายทั้งหมดและเพิ่มขอบเขตการโจมตี
- การหยุด ชะงักของการดำเนินงาน : มัลแวร์แบ็คดอร์สามารถขัดขวางการดำเนินงานปกติของธุรกิจโดยทำให้ระบบล้มเหลว ลบหรือเข้ารหัสไฟล์ที่สำคัญ หรือนำไปสู่ปัญหาประสิทธิภาพการทำงาน ซึ่งอาจส่งผลให้ต้องหยุดการทำงานและสูญเสียทางการเงิน
- การจารกรรมและการเฝ้าติดตาม : แบ็คดอร์สามารถใช้เพื่อการจารกรรม ช่วยให้ผู้โจมตีสามารถตรวจสอบและบันทึกกิจกรรม การสื่อสาร และการโต้ตอบของผู้ใช้ การเฝ้าติดตามนี้สามารถทำลายความเป็นส่วนตัวและนำไปสู่การรั่วไหลของข้อมูลที่ละเอียดอ่อน
- ความเสียหายต่อชื่อเสียง : การปรากฏตัวของมัลแวร์แบ็คดอร์อาจส่งผลเสียต่อชื่อเสียงที่ดีขององค์กร ส่งผลให้สูญเสียความไว้วางใจและความเชื่อมั่นของลูกค้า ซึ่งอาจส่งผลกระทบในระยะยาวต่อความสัมพันธ์ทางธุรกิจและตำแหน่งทางการตลาด
- ผลที่ตามมาทางกฎหมายและกฎระเบียบ : องค์กรอาจเผชิญกับผลที่ตามมาทางกฎหมายและกฎระเบียบหากไม่สามารถปกป้องข้อมูลที่ละเอียดอ่อนได้ การละเมิดข้อมูลที่เกี่ยวข้องกับมัลแวร์แบ็คดอร์อาจนำไปสู่ค่าปรับ การดำเนินคดีทางกฎหมาย และปัญหาการปฏิบัติตามกฎระเบียบ
โดยสรุป มัลแวร์แบ็กดอร์เป็นภัยคุกคามหลายแง่มุมที่สามารถทำลายความปลอดภัย ความเป็นส่วนตัว และความสมบูรณ์ของการทำงาน ทำให้จำเป็นที่องค์กรและผู้ใช้ต้องใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง และเฝ้าระวังการบุกรุกที่อาจเกิดขึ้น
