Cyberangriff in Südasien nutzt GoGra-Backdoor-Bedrohung aus
Ein kürzlicher Cyberangriff auf eine nicht genannte Medienorganisation in Südasien unterstreicht den zunehmenden Trend unter Bedrohungsakteuren, legitime Cloud-Dienste für ihre bösartigen Aktivitäten zu nutzen. Der Angriff, der im November 2023 stattfand, beinhaltete eine neu entdeckte Go-basierte Hintertür namens GoGra, die vermutlich das Werk einer staatlichen Hackergruppe namens Harvester ist.
GoGra zeichnet sich dadurch aus, dass es die Microsoft Graph API verwendet, um mit einem Command-and-Control-Server (C&C) zu kommunizieren, der auf Microsoft-Mail-Diensten gehostet wird. Mit dieser Technik bleibt die Malware unter dem Radar, vermischt sich mit dem normalen Datenverkehr und ist daher schwer zu erkennen.
Table of Contents
So funktioniert GoGra
Die GoGra-Hintertür ist so konzipiert, dass sie mit einem bestimmten Outlook-Benutzernamen, „FNU LNU“, interagiert und E-Mails verarbeitet, deren Betreffzeile mit „Input“ beginnt. Nach Erhalt einer solchen Nachricht entschlüsselt GoGra den Inhalt mithilfe des AES-256-Algorithmus im Cipher Block Chaining (CBC)-Modus. Die entschlüsselten Anweisungen werden dann über cmd.exe ausgeführt, einen Befehlszeileninterpreter unter Windows. Die Ergebnisse dieser Befehle werden verschlüsselt und mit einer Betreffzeile, die mit „Output“ beginnt, an denselben Benutzer zurückgesendet.
Der breitere Trend der Cloud-Service-Ausnutzung
Der GoGra-Vorfall ist kein Einzelfall. Er steht stellvertretend für einen breiteren Trend, bei dem Cyberangreifer zunehmend legitime Cloud-Dienste für ihre Operationen ausnutzen. Dieser Ansatz bietet Bedrohungsakteuren mehrere Vorteile, darunter die Möglichkeit, der Entdeckung zu entgehen, indem sie sich in den regulären Netzwerkverkehr einfügen und die Notwendigkeit vermeiden, in eine dedizierte Infrastruktur zu investieren.
Einige weitere bemerkenswerte Beispiele sind:
- Datenexfiltrationstool von Firefly : Dieses Tool wurde bei einem Cyberangriff auf eine Militärorganisation in Südostasien eingesetzt und lädt gestohlene Daten mithilfe eines fest codierten Aktualisierungstokens auf Google Drive hoch.
- Grager-Hintertür : Grager wird gegen Organisationen in Taiwan, Hongkong und Vietnam eingesetzt und verwendet die Microsoft Graph-API, um mit einem C&C-Server zu kommunizieren, der auf Microsoft OneDrive gehostet wird. Diese Aktivität wurde mit einem mutmaßlichen chinesischen Bedrohungsakteur, UNC5330, in Verbindung gebracht.
- MoonTag : Eine weitere Hintertür, die mit der Graph-API kommuniziert und einem chinesisch sprechenden Bedrohungsakteur zugeschrieben wird.
- Onedrivetools : Diese Schadsoftware zielt auf IT-Dienstleistungsunternehmen in den USA und Europa ab und nutzt OneDrive für ihre C&C-Kommunikation.
Die Implikationen
Die zunehmende Nutzung von Cloud-Diensten für Befehls- und Kontrolloperationen deutet auf einen Strategiewechsel bei Cyber-Spionagegruppen hin. Durch die Nutzung von Plattformen wie Microsoft 365 und Google Drive können Angreifer das Vertrauen und die Legitimität dieser Dienste ausnutzen, um ihre bösartigen Aktivitäten durchzuführen. Die Tatsache, dass immer mehr Akteure diese Techniken anwenden, deutet auf einen wachsenden Trend hin, bei dem Spionageakteure erfolgreiche Methoden anderer Gruppen genau studieren und nachahmen.
Abschluss
Das Auftauchen von GoGra und ähnlichen Malware-Familien unterstreicht die sich entwickelnde Natur von Cyberbedrohungen. Da Angreifer immer neue Wege finden, Cloud-Dienste auszunutzen, müssen Unternehmen wachsam bleiben und fortschrittliche Strategien zur Bedrohungserkennung und -reaktion anwenden. Das Verständnis dieser Trends und der von Bedrohungsakteuren eingesetzten Techniken ist entscheidend, um im anhaltenden Kampf gegen Cyber-Spionage immer einen Schritt voraus zu sein.
