Cyberangreb i Sydasien udnyttes ved at bruge GoGra-bagdørstrussel

Et nyligt cyberangreb på en unavngiven medieorganisation i Sydasien fremhæver den stigende tendens blandt trusselsaktører til at udnytte legitime cloud-tjenester til deres ondsindede aktiviteter. Angrebet, som fandt sted i november 2023, involverede en nyopdaget Go-baseret bagdør ved navn GoGra, der menes at være arbejdet af en nationalstats hackergruppe kendt som Harvester.

GoGra udmærker sig ved at bruge Microsoft Graph API til at kommunikere med en kommando-og-kontrol-server (C&C) hostet på Microsofts mailtjenester. Denne teknik gør det muligt for malware at forblive under radaren, blander sig med normal trafik og gør det svært at opdage.

Sådan fungerer GoGra

GoGra-bagdøren er designet til at interagere med et specifikt Outlook-brugernavn, "FNU LNU", og behandler e-mails med emnelinjen, der begynder med "Input". Ved modtagelse af en sådan besked dekrypterer GoGra indholdet ved hjælp af AES-256-algoritmen i tilstanden Cipher Block Chaining (CBC). De dekrypterede instruktioner udføres derefter via cmd.exe, en kommandolinjefortolker på Windows. Resultaterne af disse kommandoer krypteres og sendes tilbage til den samme bruger med en emnelinje, der starter med "Output".

Den bredere trend inden for cloud-tjenesteudnyttelse

GoGra-hændelsen er ikke et isoleret tilfælde. Det repræsenterer en bredere tendens, hvor cyberangribere i stigende grad udnytter lovlige cloud-tjenester til deres operationer. Denne tilgang giver trusselsaktører adskillige fordele, herunder evnen til at undgå registrering ved at blande sig med almindelig netværkstrafik og undgå behovet for at investere i dedikeret infrastruktur.

Nogle andre bemærkelsesværdige eksempler omfatter:

• Fireflys dataeksfiltreringsværktøj : Brugt i et cyberangreb mod en militær organisation i Sydøstasien, uploader dette værktøj stjålne data til Google Drev ved hjælp af et hårdkodet opdateringstoken.
• Grager Backdoor : Udrullet mod organisationer i Taiwan, Hong Kong og Vietnam bruger Grager Microsoft Graph API til at kommunikere med en C&C-server, der er hostet på Microsoft OneDrive. Denne aktivitet er blevet forbundet med en formodet kinesisk trusselaktør, UNC5330.
• MoonTag : Endnu en bagdør, der kommunikerer med Graph API og tilskrives en kinesisktalende trusselsaktør.
• Onedrivetools : Denne malware er rettet mod it-servicevirksomheder i USA og Europa, der bruger OneDrive til deres C&C-kommunikation.

Implikationerne

Den voksende brug af cloud-tjenester til kommando-og-kontrol-operationer indikerer et skift i taktik blandt cyberspionagegrupper. Ved at udnytte platforme som Microsoft 365 og Google Drive kan angribere udnytte den tillid og legitimitet, der er forbundet med disse tjenester, til at udføre deres ondsindede aktiviteter. Det faktum, at flere og flere aktører tager disse teknikker i brug, tyder på en voksende tendens, hvor spionageaktører nøje studerer og efterligner vellykkede metoder, der bruges af andre grupper.

Konklusion

Fremkomsten af GoGra og lignende malware-familier understreger udviklingen af cybertrusler. Efterhånden som angribere fortsætter med at finde nye måder at udnytte cloud-tjenester på, skal organisationer forblive på vagt og vedtage avancerede trusselsdetektions- og reaktionsstrategier. At forstå disse tendenser og de teknikker, som trusselsaktører anvender, er afgørende for at være et skridt foran i den igangværende kamp mod cyberspionage.