GoGra Backdoor

Noong Nobyembre 2023, isang organisasyon ng media sa Timog Asya ang na-target gamit ang isang bagong natuklasang backdoor na nakabase sa Go na kilala bilang GoGra. Ang malware na ito, na nakasulat sa Go programming language, ay gumagamit ng Microsoft Graph API upang makipag-ugnayan sa isang Command-and-Control (C&C) server na naka-host sa mga serbisyo ng Microsoft mail. Sa ngayon, ang paraan ng paghahatid ng GoGra sa mga target na kapaligiran ay nananatiling hindi alam. Kapansin-pansin, ang GoGra ay idinisenyo upang basahin ang mga mensahe mula sa isang Outlook account na may username na 'FNU LNU,' partikular ang mga may linya ng paksa na nagsisimula sa 'Input.'

Nagbabahagi ang GoGra ng Mga Pagkakatulad sa Dati Nang Natuklasan na Malware

Ang mga nilalaman ng mensahe ay decrypted gamit ang AES-256 algorithm sa Cipher Block Chaining (CBC) mode sa pamamagitan ng paggamit ng isang partikular na key. Pagkatapos ng pag-decryption, ang mga utos ay isinasagawa sa pamamagitan ng cmd.exe. Ang mga resulta ay ine-encrypt at ibabalik sa parehong user na may paksang 'Output.' Ang GoGra ay pinaniniwalaang binuo ng isang nation-state hacking group na kilala bilang Harvester , dahil sa pagkakatulad nito sa custom na .NET implant na tinatawag na Graphon , na gumagamit din ng Graph API para sa mga function ng Command-and-Control (C&C).

Lalong Nagsasamantala sa Mga Lehitimong Serbisyo sa Cloud ang Mga Aktor ng Banta

Ang mga aktor ng pagbabanta ay lalong nagsasamantala sa mga lehitimong serbisyo sa cloud upang manatiling maingat at maiwasan ang mga gastos na nauugnay sa nakatuong imprastraktura.

Kabilang sa mga kilalang halimbawa ng trend na ito ang:

• Firefly : Isang bagong data exfiltration tool na ginagamit sa isang cyber attack laban sa isang military organization sa Southeast Asia. Ang na-harvest na data ay ina-upload sa Google Drive gamit ang isang hard-coded na refresh token.
• Grager : Isang bagong backdoor ang natuklasan noong Abril 2024, na nagta-target ng mga organisasyon sa Taiwan, Hong Kong, at Vietnam. Nakikipag-ugnayan ito sa isang Command-and-Control (C&C) server na naka-host sa Microsoft OneDrive sa pamamagitan ng Graph API. Pansamantalang nauugnay ang aktibidad na ito sa pinaghihinalaang Chinese threat actor na kilala bilang UNC5330.
• MoonTag : Isang backdoor na may functionality para sa pakikipag-ugnayan sa Graph API na iniuugnay sa isang banta na nagsasalita ng Chinese.
• Onedrivetools : Isang backdoor na ginagamit laban sa mga kumpanya ng serbisyo ng IT sa US at Europe. Ginagamit nito ang Graph API upang makipag-ugnayan sa isang C&C server sa OneDrive, nagsasagawa ng mga command at nagse-save ng output sa parehong platform.

Habang ang paggamit ng mga serbisyo ng cloud para sa Command at Control ay hindi isang bagong pamamaraan, ang paggamit nito sa mga umaatake ay tumataas kamakailan.

Ang Mga Panganib ng Backdoor Infections

Ang backdoor malware ay nagdudulot ng malalaking panganib sa mga apektadong organisasyon o user, kabilang ang:

• Hindi Awtorisadong Pag-access : Ang mga backdoor ay nagbibigay sa mga umaatake ng nakatagong access sa mga system, na nagpapahintulot sa kanila na i-bypass ang mga normal na mekanismo ng pagpapatunay. Ang hindi awtorisadong pag-access na ito ay maaaring humantong sa kompromiso ng sensitibong data at mga kritikal na system.
• Pagnanakaw ng Data : Maaaring gumamit ng mga backdoor ang mga umaatake upang i-exfiltrate ang kumpidensyal na impormasyon, kabilang ang personal na data, intelektwal na ari-arian, at mga rekord sa pananalapi. Ang na-harvest na data na ito ay maaaring gamitin para sa pagnanakaw ng pagkakakilanlan, corporate espionage, o ibenta sa dark Web.
• Pagkontrol at Pagmamanipula ng System : Kapag na-install na ang backdoor, maaaring magkaroon ng kontrol ang mga attacker sa mga apektadong system. Binibigyang-daan sila ng kontrol na ito na magsagawa ng mga command, mag-install ng karagdagang malware, baguhin ang mga configuration ng system, o manipulahin ang data.
• Network Compromise : Ang mga backdoor ay kadalasang nagpapadali sa pag-ilid na paggalaw sa loob ng isang network. Maaaring gumamit ang mga attacker ng isang paunang kompromiso upang lumipat sa gilid sa mga konektadong system, na posibleng makaapekto sa buong network at dagdagan ang saklaw ng kanilang pag-atake.
• Pagkagambala sa Mga Operasyon : Maaaring maabala ng backdoor malware ang mga normal na operasyon ng negosyo sa pamamagitan ng pagdudulot ng mga pagkabigo sa system, pagtanggal o pag-encrypt ng mga kritikal na file, o humahantong sa mga isyu sa pagganap. Ito ay maaaring magresulta sa operational downtime at financial loss.
• Espionage at Surveillance : Maaaring gamitin ang backdoors para sa espionage, na nagbibigay-daan sa mga attacker na subaybayan at i-record ang mga aktibidad, komunikasyon, at pakikipag-ugnayan ng user. Maaaring makompromiso ng pagsubaybay na ito ang privacy at humantong sa pagtagas ng sensitibong impormasyon.
• Pinsala ng Reputasyon : Ang pagkakaroon ng backdoor malware ay maaaring makapinsala sa mabuting pangalan ng isang organisasyon, na humahantong sa pagkawala ng tiwala at kumpiyansa ng customer. Maaari itong magkaroon ng pangmatagalang epekto sa mga relasyon sa negosyo at posisyon sa merkado.
• Mga Regulatoryo at Legal na Bunga : Maaaring harapin ng mga organisasyon ang mga legal at regulasyong kahihinatnan kung hindi nila maprotektahan ang sensitibong data. Ang mga paglabag sa data na kinasasangkutan ng backdoor malware ay maaaring humantong sa mga multa, legal na aksyon, at mga isyu sa pagsunod.

Sa buod, ang backdoor malware ay nagpapakita ng maraming aspeto na banta na maaaring makompromiso ang seguridad, privacy, at integridad ng pagpapatakbo, na ginagawang mahalaga para sa mga organisasyon at user na gumamit ng matatag na mga hakbang sa seguridad at manatiling mapagbantay laban sa mga potensyal na panghihimasok.