Η κυβερνοεπίθεση της Νότιας Ασίας αξιοποιήθηκε με τη χρήση του GoGra Backdoor Threat

Μια πρόσφατη κυβερνοεπίθεση σε έναν μη κατονομαζόμενο οργανισμό μέσων ενημέρωσης στη Νότια Ασία υπογραμμίζει την αυξανόμενη τάση μεταξύ των παραγόντων απειλών να αξιοποιούν νόμιμες υπηρεσίες cloud για τις κακόβουλες δραστηριότητές τους. Η επίθεση, η οποία συνέβη τον Νοέμβριο του 2023, αφορούσε μια πρόσφατα ανακαλυφθείσα κερκόπορτα με βάση το Go με το όνομα GoGra, που πιστεύεται ότι είναι έργο μιας ομάδας χάκερ εθνικού κράτους, γνωστής ως Harvester.

Το GoGra διακρίνεται χρησιμοποιώντας το Microsoft Graph API για την επικοινωνία με έναν διακομιστή εντολών και ελέγχου (C&C) που φιλοξενείται σε υπηρεσίες αλληλογραφίας της Microsoft. Αυτή η τεχνική επιτρέπει στο κακόβουλο λογισμικό να παραμείνει κάτω από το ραντάρ, συνδυάζοντας την κανονική κυκλοφορία και καθιστώντας δύσκολο τον εντοπισμό.

Πώς λειτουργεί το GoGra

Η κερκόπορτα GoGra έχει σχεδιαστεί για να αλληλεπιδρά με ένα συγκεκριμένο όνομα χρήστη του Outlook, "FNU LNU", και επεξεργάζεται μηνύματα ηλεκτρονικού ταχυδρομείου με τη γραμμή θέματος που αρχίζει με "Εισαγωγή". Με τη λήψη ενός τέτοιου μηνύματος, το GoGra αποκρυπτογραφεί το περιεχόμενο χρησιμοποιώντας τον αλγόριθμο AES-256 στη λειτουργία Αλυσίδας Αποκλίσεων κρυπτογράφησης (CBC). Στη συνέχεια, οι αποκρυπτογραφημένες οδηγίες εκτελούνται μέσω του cmd.exe, ενός διερμηνέα γραμμής εντολών στα Windows. Τα αποτελέσματα αυτών των εντολών κρυπτογραφούνται και αποστέλλονται πίσω στον ίδιο χρήστη με μια γραμμή θέματος που ξεκινά με "Έξοδος".

Η Ευρύτερη Τάση Εκμετάλλευσης Υπηρεσιών Cloud

Το περιστατικό GoGra δεν είναι μια μεμονωμένη περίπτωση. Αντιπροσωπεύει μια ευρύτερη τάση όπου οι εισβολείς στον κυβερνοχώρο εκμεταλλεύονται όλο και περισσότερο τις νόμιμες υπηρεσίες cloud για τις δραστηριότητές τους. Αυτή η προσέγγιση προσφέρει πολλά πλεονεκτήματα στους παράγοντες απειλών, συμπεριλαμβανομένης της ικανότητας αποφυγής εντοπισμού μέσω της ανάμειξης με την κανονική κίνηση δικτύου και αποφεύγοντας την ανάγκη επένδυσης σε αποκλειστική υποδομή.

Μερικά άλλα αξιοσημείωτα παραδείγματα περιλαμβάνουν:

• Εργαλείο εξαγωγής δεδομένων της Firefly : Χρησιμοποιείται σε μια κυβερνοεπίθεση εναντίον στρατιωτικού οργανισμού στη Νοτιοανατολική Ασία, αυτό το εργαλείο ανεβάζει κλεμμένα δεδομένα στο Google Drive χρησιμοποιώντας ένα διακριτικό ανανέωσης με σκληρό κώδικα.
• Grager Backdoor : Αναπτύχθηκε σε οργανισμούς στην Ταϊβάν, το Χονγκ Κονγκ και το Βιετνάμ, το Grager χρησιμοποιεί το Microsoft Graph API για να επικοινωνεί με έναν διακομιστή C&C που φιλοξενείται στο Microsoft OneDrive. Αυτή η δραστηριότητα έχει συνδεθεί με έναν ύποπτο κινεζικό παράγοντα απειλής, το UNC5330.
• MoonTag : Μια άλλη κερκόπορτα που επικοινωνεί με το Graph API και αποδίδεται σε έναν κινεζόφωνο παράγοντα απειλών.
• Onedrivetools : Αυτό το κακόβουλο λογισμικό στοχεύει εταιρείες υπηρεσιών πληροφορικής στις ΗΠΑ και την Ευρώπη, χρησιμοποιώντας το OneDrive για τις επικοινωνίες C&C.

Οι επιπτώσεις

Η αυξανόμενη χρήση των υπηρεσιών cloud για επιχειρήσεις διοίκησης και ελέγχου υποδηλώνει μια αλλαγή στην τακτική μεταξύ των ομάδων κυβερνοκατασκοπείας. Αξιοποιώντας πλατφόρμες όπως το Microsoft 365 και το Google Drive, οι εισβολείς μπορούν να εκμεταλλευτούν την εμπιστοσύνη και τη νομιμότητα που σχετίζονται με αυτές τις υπηρεσίες για να πραγματοποιήσουν τις κακόβουλες δραστηριότητές τους. Το γεγονός ότι όλο και περισσότεροι ηθοποιοί υιοθετούν αυτές τις τεχνικές υποδηλώνει μια αυξανόμενη τάση όπου οι φορείς κατασκοπείας μελετούν και μιμούνται επιτυχείς μεθόδους που χρησιμοποιούνται από άλλες ομάδες.

συμπέρασμα

Η εμφάνιση του GoGra και παρόμοιων οικογενειών κακόβουλου λογισμικού υπογραμμίζει την εξελισσόμενη φύση των απειλών στον κυβερνοχώρο. Καθώς οι επιτιθέμενοι συνεχίζουν να βρίσκουν νέους τρόπους για να εκμεταλλεύονται τις υπηρεσίες cloud, οι οργανισμοί πρέπει να παραμείνουν σε εγρήγορση και να υιοθετήσουν προηγμένες στρατηγικές ανίχνευσης και απόκρισης απειλών. Η κατανόηση αυτών των τάσεων και των τεχνικών που χρησιμοποιούνται από τους φορείς απειλών είναι ζωτικής σημασίας για να παραμείνουμε ένα βήμα μπροστά στη συνεχιζόμενη μάχη κατά της κατασκοπείας στον κυβερνοχώρο.