GoGra Backdoor

У листопаді 2023 року південноазіатська медіа-організація стала мішенню за допомогою нещодавно виявленого бекдору на основі Go, відомого як GoGra. Це зловмисне програмне забезпечення, написане на мові програмування Go, використовує API Microsoft Graph для зв’язку з сервером командування та керування (C&C), розміщеним у поштових службах Microsoft. Поки що спосіб доставки GoGra в цільові середовища залишається невідомим. Зокрема, GoGra розроблено для читання повідомлень з облікового запису Outlook з іменем користувача «FNU LNU», зокрема тих, у яких рядок теми починається з «Введення».

GoGra має схожість із раніше виявленими шкідливими програмами

Вміст повідомлення розшифровується за допомогою алгоритму AES-256 у режимі з’єднання блоків шифру (CBC) за допомогою спеціального ключа. Після розшифровки команди виконуються через cmd.exe. Потім результати шифруються та надсилаються тому ж користувачеві з темою «Вихід». Вважається, що GoGra розроблена національною хакерською групою, відомою як Harvester , через її схожість із спеціальним імплантатом .NET під назвою Graphon , який також використовує API Graph для функцій командування та керування (C&C).

Зловмисники все частіше використовують законні хмарні служби

Зловмисники все частіше використовують законні хмарні служби, щоб залишатися непомітними та уникати витрат, пов’язаних із виділеною інфраструктурою.

Яскраві приклади цієї тенденції включають:

• Firefly : новий інструмент для вилучення даних, який використовується під час кібератаки проти військової організації в Південно-Східній Азії. Зібрані дані завантажуються на Google Drive за допомогою жорстко закодованого маркера оновлення.
• Грейгер : у квітні 2024 року було виявлено новий бекдор, націлений на організації в Тайвані, Гонконгу та В’єтнамі. Він спілкується з сервером командування та управління (C&C), розміщеним на Microsoft OneDrive, через Graph API. Ця діяльність попередньо пов’язана з підозрюваним китайським загрозником, відомим як UNC5330.
• MoonTag : бекдор із функціями для взаємодії з Graph API, приписуваним китайськомовному учаснику загрози.
• Onedrivetools : бекдор, який використовується проти ІТ-компаній у США та Європі. Він використовує API Graph для зв’язку з сервером C&C на OneDrive, виконання команд і збереження виведених даних на тій же платформі.

Хоча використання хмарних служб для командування й контролю не є новою технікою, останнім часом її застосування серед зловмисників зростає.

Небезпека бекдор-інфекцій

Бекдорне зловмисне програмне забезпечення становить серйозну небезпеку для постраждалих організацій або користувачів, зокрема:

• Неавторизований доступ : бекдори надають зловмисникам прихований доступ до систем, дозволяючи їм обходити звичайні механізми автентифікації. Цей несанкціонований доступ може призвести до зламу конфіденційних даних і критичних систем.
• Крадіжка даних : зловмисники можуть використовувати бекдори для викрадання конфіденційної інформації, зокрема особистих даних, інтелектуальної власності та фінансових записів. Ці зібрані дані можуть бути використані для крадіжки особистих даних, корпоративного шпигунства або продані в темній мережі.
• Контроль системи та маніпуляції : після встановлення бекдору зловмисники можуть отримати контроль над ураженими системами. Цей елемент керування дозволяє їм виконувати команди, встановлювати додаткове шкідливе програмне забезпечення, змінювати конфігурацію системи або маніпулювати даними.
• Мережевий компроміс : бекдори часто сприяють боковому переміщенню в мережі. Зловмисники можуть використати початковий компроміс, щоб пересуватися по підключених системах, потенційно впливаючи на цілі мережі та збільшуючи масштаб атаки.
• Порушення операцій : бекдор-зловмисне програмне забезпечення може порушити звичайні бізнес-операції, викликаючи системні збої, видаляючи чи шифруючи критичні файли або спричиняючи проблеми з продуктивністю. Це може призвести до простою в роботі та фінансових втрат.
• Шпигунство та стеження : бекдори можна використовувати для шпигунства, дозволяючи зловмисникам контролювати та записувати дії користувачів, спілкування та взаємодію. Таке стеження може порушити конфіденційність і призвести до витоку конфіденційної інформації.
• Пошкодження репутації : наявність бекдор-зловмисного програмного забезпечення може завдати шкоди доброму імені організації, що призведе до втрати довіри та впевненості клієнтів. Це може мати довгостроковий вплив на ділові відносини та позицію на ринку.
• Регуляторні та правові наслідки : організації можуть зіткнутися з правовими та нормативними наслідками, якщо вони не зможуть захистити конфіденційні дані. Порушення даних із застосуванням бекдор-зловмисного програмного забезпечення може призвести до штрафів, судових позовів і проблем з дотриманням вимог.

Таким чином, зловмисне програмне забезпечення для бекдорів представляє багатогранну загрозу, яка може поставити під загрозу безпеку, конфіденційність і операційну цілісність, тому організаціям і користувачам важливо застосовувати надійні заходи безпеки та бути пильними щодо потенційних вторгнень.