GoGra後門
2023 年 11 月,一個南亞媒體組織成為了使用新發現的基於 Go 的後門(稱為 GoGra)的目標。此惡意軟體採用 Go 程式語言編寫,利用 Microsoft Graph API 與 Microsoft 郵件服務上託管的命令與控制 (C&C) 伺服器進行通訊。到目前為止,GoGra 到目標環境的交付方式仍然未知。值得注意的是,GoGra 旨在讀取來自使用者名為「FNU LNU」的 Outlook 帳戶的訊息,特別是那些主題行以「Input」開頭的訊息。
目錄
GoGra 與先前發現的惡意軟體有相似之處
訊息內容使用特定金鑰在密碼塊連結 (CBC) 模式下使用 AES-256 演算法進行解密。解密後,透過cmd.exe執行指令。然後,結果被加密並以“輸出”主題發送回同一用戶。 GoGra 被認為是由一個名為Harvester的民族國家駭客組織開發的,因為它與名為Graphon的自訂 .NET 植入程式相似,後者也使用 Graph API 來實現命令與控制 (C&C) 功能。
威脅行為者越來越多地利用合法的雲端服務
威脅行為者越來越多地利用合法的雲端服務來保持謹慎並避免與專用基礎設施相關的成本。
這一趨勢的突出例子包括:
- Firefly :一種新的資料外洩工具,用於針對東南亞軍事組織的網路攻擊。使用硬編碼的刷新令牌將收集的資料上傳到 Google Drive。
- Grager :2024 年 4 月發現了一個新的後門,針對台灣、香港和越南的組織。它透過 Graph API 與 Microsoft OneDrive 上託管的命令與控制 (C&C) 伺服器進行通訊。此活動暫時與被稱為 UNC5330 的可疑中國威脅行為者有關。
- MoonTag :一個後門,具有與 Graph API 互動的功能,歸因於講中文的威脅行為者。
- Onedrivetools :美國和歐洲 IT 服務公司的後門。它使用 Graph API 與 OneDrive 上的 C&C 伺服器進行通信,執行命令並將輸出儲存到同一平台。
雖然使用雲端服務進行命令和控制並不是一項新技術,但最近攻擊者對它的採用不斷增加。
後門感染的危險
後門惡意軟體會對受影響的組織或使用者帶來重大危險,包括:
- 未經授權的訪問:後門為攻擊者提供了對系統的隱藏訪問,使他們能夠繞過正常的身份驗證機制。這種未經授權的存取可能會導致敏感資料和關鍵系統受到損害。
- 資料竊取:攻擊者可以使用後門竊取機密訊息,包括個人資料、智慧財產權和財務記錄。這些收集到的資料可用於身分盜竊、企業間諜活動或在暗網上出售。
- 系統控制與操縱:一旦安裝後門,攻擊者就可以控制受影響的系統。這種控制允許他們執行命令、安裝其他惡意軟體、更改系統配置或操縱資料。
- 網路妥協:後門通常會促進網路內的橫向移動。攻擊者可以利用初始妥協在連接的系統之間橫向移動,這可能會影響整個網路並擴大攻擊範圍。
- 營運中斷:後門惡意軟體可能會導致系統故障、刪除或加密關鍵檔案或導致效能問題,從而擾亂正常的業務運作。這可能會導致營運停機和財務損失。
- 間諜活動和監視:後門可用於間諜活動,使攻擊者能夠監視和記錄使用者活動、通訊和互動。這種監視可能會損害隱私並導致敏感資訊外洩。
- 聲譽損害:後門惡意軟體的存在可能損害組織的良好聲譽,導致客戶失去信任和信心。這可能會對業務關係和市場地位產生長期影響。
- 監管和法律後果:如果組織無法保護敏感數據,可能會面臨法律和監管後果。涉及後門惡意軟體的資料外洩可能會導致罰款、法律訴訟和合規問題。
總之,後門惡意軟體帶來了多方面的威脅,可能會損害安全、隱私和操作完整性,因此組織和使用者必須採取強大的安全措施並對潛在的入侵保持警惕。
