Cửa sau GoGra
Vào tháng 11 năm 2023, một tổ chức truyền thông Nam Á đã bị nhắm mục tiêu bằng cách sử dụng một cửa hậu dựa trên Go mới được phát hiện có tên là GoGra. Phần mềm độc hại này, được viết bằng ngôn ngữ lập trình Go, tận dụng Microsoft Graph API để giao tiếp với máy chủ Command-and-Control (C&C) được lưu trữ trên các dịch vụ thư của Microsoft. Cho đến nay, phương pháp phân phối GoGra đến các môi trường mục tiêu vẫn chưa được biết. Đáng chú ý, GoGra được thiết kế để đọc các tin nhắn từ tài khoản Outlook có tên người dùng là 'FNU LNU', đặc biệt là những tin nhắn có dòng chủ đề bắt đầu bằng 'Input'.
Mục lục
GoGra có điểm tương đồng với phần mềm độc hại đã được phát hiện trước đó
Nội dung tin nhắn được giải mã bằng thuật toán AES-256 ở chế độ Cipher Block Chaining (CBC) bằng cách sử dụng một khóa cụ thể. Sau khi giải mã, các lệnh được thực thi thông qua cmd.exe. Sau đó, kết quả được mã hóa và gửi lại cho cùng một người dùng với chủ đề 'Đầu ra'. GoGra được cho là do một nhóm tin tặc quốc gia được gọi là Harvester phát triển, do có điểm tương đồng với một bản cấy ghép .NET tùy chỉnh có tên là Graphon , cũng sử dụng Graph API cho các chức năng Command-and-Control (C&C).
Các tác nhân đe dọa ngày càng khai thác các dịch vụ đám mây hợp pháp
Các tác nhân đe dọa ngày càng khai thác nhiều hơn các dịch vụ đám mây hợp pháp để giữ kín đáo và tránh chi phí liên quan đến cơ sở hạ tầng chuyên dụng.
Những ví dụ nổi bật của xu hướng này bao gồm:
- Firefly : Một công cụ trích xuất dữ liệu mới được sử dụng trong một cuộc tấn công mạng vào một tổ chức quân sự ở Đông Nam Á. Dữ liệu thu thập được sẽ được tải lên Google Drive bằng mã thông báo làm mới được mã hóa cứng.
- Grager : Một backdoor mới đã được phát hiện vào tháng 4 năm 2024, nhắm vào các tổ chức ở Đài Loan, Hồng Kông và Việt Nam. Nó giao tiếp với máy chủ Command-and-Control (C&C) được lưu trữ trên Microsoft OneDrive thông qua Graph API. Hoạt động này tạm thời được liên kết với tác nhân đe dọa Trung Quốc bị nghi ngờ có tên là UNC5330.
- MoonTag : Một cửa hậu có chức năng tương tác với Graph API được cho là của một tác nhân đe dọa nói tiếng Trung Quốc.
- Onedrivetools : Một backdoor được sử dụng chống lại các công ty dịch vụ CNTT tại Hoa Kỳ và Châu Âu. Nó sử dụng Graph API để giao tiếp với máy chủ C&C trên OneDrive, thực hiện lệnh và lưu đầu ra vào cùng một nền tảng.
Mặc dù sử dụng dịch vụ đám mây để chỉ huy và kiểm soát không phải là một kỹ thuật mới, nhưng việc sử dụng nó trong giới tấn công lại đang gia tăng gần đây.
Mối nguy hiểm của nhiễm trùng Backdoor
Phần mềm độc hại cửa sau gây ra những nguy hiểm đáng kể cho các tổ chức hoặc người dùng bị ảnh hưởng, bao gồm:
- Truy cập trái phép : Backdoor cung cấp cho kẻ tấn công quyền truy cập ẩn vào hệ thống, cho phép chúng bỏ qua các cơ chế xác thực thông thường. Truy cập trái phép này có thể dẫn đến việc xâm phạm dữ liệu nhạy cảm và các hệ thống quan trọng.
- Trộm cắp dữ liệu : Kẻ tấn công có thể sử dụng backdoor để đánh cắp thông tin bí mật, bao gồm dữ liệu cá nhân, sở hữu trí tuệ và hồ sơ tài chính. Dữ liệu thu thập được này có thể được sử dụng để đánh cắp danh tính, gián điệp doanh nghiệp hoặc bán trên dark Web.
- Kiểm soát và thao túng hệ thống : Sau khi cài đặt backdoor, kẻ tấn công có thể kiểm soát các hệ thống bị ảnh hưởng. Kiểm soát này cho phép chúng thực thi lệnh, cài đặt phần mềm độc hại bổ sung, thay đổi cấu hình hệ thống hoặc thao túng dữ liệu.
- Network Compromise : Backdoor thường tạo điều kiện cho việc di chuyển ngang trong mạng. Kẻ tấn công có thể sử dụng một sự xâm phạm ban đầu để di chuyển ngang qua các hệ thống được kết nối, có khả năng ảnh hưởng đến toàn bộ mạng và tăng phạm vi tấn công của chúng.
- Gián đoạn hoạt động : Phần mềm độc hại cửa sau có thể làm gián đoạn hoạt động kinh doanh bình thường bằng cách gây ra lỗi hệ thống, xóa hoặc mã hóa các tệp quan trọng hoặc dẫn đến các vấn đề về hiệu suất. Điều này có thể dẫn đến thời gian ngừng hoạt động và tổn thất tài chính.
- Gián điệp và giám sát : Backdoor có thể được sử dụng để do thám, cho phép kẻ tấn công theo dõi và ghi lại hoạt động, giao tiếp và tương tác của người dùng. Hoạt động giám sát này có thể xâm phạm quyền riêng tư và dẫn đến rò rỉ thông tin nhạy cảm.
- Thiệt hại về danh tiếng : Sự hiện diện của phần mềm độc hại cửa sau có thể làm tổn hại đến danh tiếng của một tổ chức, dẫn đến mất lòng tin và sự tin tưởng của khách hàng. Điều này có thể có tác động lâu dài đến các mối quan hệ kinh doanh và vị thế trên thị trường.
- Hậu quả pháp lý và quy định : Các tổ chức có thể phải đối mặt với hậu quả pháp lý và quy định nếu họ không thể bảo vệ dữ liệu nhạy cảm. Vi phạm dữ liệu liên quan đến phần mềm độc hại cửa sau có thể dẫn đến tiền phạt, hành động pháp lý và các vấn đề về tuân thủ.
Tóm lại, phần mềm độc hại cửa hậu là mối đe dọa đa chiều có thể gây tổn hại đến bảo mật, quyền riêng tư và tính toàn vẹn của hoạt động, khiến các tổ chức và người dùng phải áp dụng các biện pháp bảo mật mạnh mẽ và luôn cảnh giác trước các cuộc xâm nhập tiềm ẩn.
