GoGra 后门

2023 年 11 月，一家南亚媒体组织被利用一种新发现的基于 Go 的后门（称为 GoGra）作为攻击目标。这种恶意软件以 Go 编程语言编写，利用 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制 (C&C) 服务器进行通信。到目前为止，GoGra 向目标环境的交付方法仍然未知。值得注意的是，GoGra 旨在读取用户名为“FNU LNU”的 Outlook 帐户中的邮件，特别是那些主题行以“Input”开头的邮件。

GoGra 与之前发现的恶意软件有相似之处

消息内容使用特定密钥在密码块链接 (CBC) 模式下使用 AES-256 算法进行解密。解密后，通过 cmd.exe 执行命令。然后对结果进行加密，并将其发送回同一用户，主题为“Output”。GoGra 被认为是由一个名为Harvester的国家黑客组织开发的，因为它与名为Graphon 的自定义 .NET 植入程序相似，后者也使用 Graph API 实现命令和控制 (C&C) 功能。

威胁行为者越来越多地利用合法的云服务

威胁行为者越来越多地利用合法的云服务来保持谨慎并避免与专用基础设施相关的成本。

这一趋势的突出例子包括：

• Firefly ：一种新型数据泄露工具，用于针对东南亚军事组织的网络攻击。使用硬编码刷新令牌将收集的数据上传到 Google Drive。
• Grager ：2024 年 4 月发现了一个新的后门，针对台湾、香港和越南的组织。它通过 Graph API 与托管在 Microsoft OneDrive 上的命令和控制 (C&C) 服务器进行通信。此活动暂时与被称为 UNC5330 的疑似中国威胁行为者有关。
• MoonTag ：一个具有与 Graph API 交互功能的后门，归因于一个讲中文的威胁行为者。
• Onedrivetools ：针对美国和欧洲 IT 服务公司的后门。它使用 Graph API 与 OneDrive 上的 C&C 服务器进行通信，执行命令并将输出保存到同一平台。

虽然使用云服务进行命令和控制并不是一项新技术，但最近攻击者对其的采用却在增加。

后门感染的危险

后门恶意软件对受影响的组织或用户构成重大危险，包括：

• 未经授权的访问：后门为攻击者提供隐藏的系统访问权限，使他们能够绕过正常的身份验证机制。这种未经授权的访问可能导致敏感数据和关键系统受到损害。
• 数据窃取：攻击者可以利用后门窃取机密信息，包括个人数据、知识产权和财务记录。这些收集的数据可用于身份盗窃、企业间谍活动或在暗网上出售。
• 系统控制和操纵：一旦安装后门，攻击者便可控制受影响的系统。这种控制使他们能够执行命令、安装其他恶意软件、更改系统配置或操纵数据。
• 网络入侵：后门通常有助于网络内的横向移动。攻击者可以利用初始入侵在连接的系统间横向移动，从而可能影响整个网络并扩大攻击范围。
• 运营中断：后门恶意软件会造成系统故障、删除或加密关键文件，或导致性能问题，从而破坏正常的业务运营。这可能会导致运营中断和财务损失。
• 间谍和监视：后门可用于间谍活动，允许攻击者监视和记录用户活动、通信和交互。这种监视可能会损害隐私并导致敏感信息的泄露。
• 声誉受损：后门恶意软件的存在会损害组织的声誉，导致客户失去信任和信心。这可能会对业务关系和市场地位产生长期影响。
• 监管和法律后果：如果组织无法保护敏感数据，则可能面临法律和监管后果。涉及后门恶意软件的数据泄露可能导致罚款、法律诉讼和合规问题。

总之，后门恶意软件构成了多方面的威胁，可能危及安全、隐私和操作完整性，因此组织和用户必须采用强有力的安全措施并对潜在的入侵保持警惕。