Ataque cibernético en el sur de Asia aprovechado mediante la amenaza de puerta trasera GoGra
Un reciente ciberataque a una organización de medios anónima en el sur de Asia pone de relieve la creciente tendencia entre los actores de amenazas a aprovechar los servicios legítimos en la nube para sus actividades maliciosas. El ataque, que se produjo en noviembre de 2023, implicó una puerta trasera basada en Go recién descubierta llamada GoGra, que se cree que es obra de un grupo de piratas informáticos de un estado nación conocido como Harvester.
GoGra se distingue por utilizar la API Graph de Microsoft para comunicarse con un servidor de comando y control (C&C) alojado en los servicios de correo de Microsoft. Esta técnica permite que el malware permanezca oculto, se mezcle con el tráfico normal y sea difícil de detectar.
Table of Contents
Cómo funciona GoGra
La puerta trasera GoGra está diseñada para interactuar con un nombre de usuario específico de Outlook, "FNU LNU", y procesa los correos electrónicos cuyo asunto comience con "Entrada". Al recibir un mensaje de este tipo, GoGra descifra el contenido utilizando el algoritmo AES-256 en modo Cipher Block Chaining (CBC). Las instrucciones descifradas se ejecutan a través de cmd.exe, un intérprete de línea de comandos de Windows. Los resultados de estos comandos se cifran y se envían de vuelta al mismo usuario con un asunto que comienza con "Salida".
La tendencia más amplia de explotación de los servicios en la nube
El incidente de GoGra no es un caso aislado. Representa una tendencia más amplia en la que los ciberatacantes explotan cada vez más los servicios legítimos en la nube para sus operaciones. Este enfoque ofrece varias ventajas a los actores de amenazas, incluida la capacidad de evadir la detección al mezclarse con el tráfico de red habitual y evitar la necesidad de invertir en infraestructura dedicada.
Algunos otros ejemplos notables incluyen:
- Herramienta de exfiltración de datos de Firefly : utilizada en un ciberataque contra una organización militar en el sudeste asiático, esta herramienta carga datos robados a Google Drive utilizando un token de actualización codificado.
- Backdoor Grager : Grager, implementado contra organizaciones en Taiwán, Hong Kong y Vietnam, utiliza la API de Microsoft Graph para comunicarse con un servidor C&C alojado en Microsoft OneDrive. Esta actividad se ha vinculado a un supuesto actor de amenazas chino, UNC5330.
- MoonTag : otra puerta trasera que se comunica con Graph API y se atribuye a un actor de amenazas de habla china.
- Onedrivetools : este malware apunta a empresas de servicios de TI en EE. UU. y Europa, y utiliza OneDrive para sus comunicaciones C&C.
Las implicaciones
El creciente uso de servicios en la nube para operaciones de comando y control indica un cambio de táctica entre los grupos de ciberespionaje. Al aprovechar plataformas como Microsoft 365 y Google Drive, los atacantes pueden explotar la confianza y la legitimidad asociadas con estos servicios para llevar a cabo sus actividades maliciosas. El hecho de que cada vez más actores adopten estas técnicas sugiere una tendencia creciente en la que los actores de espionaje estudian de cerca e imitan métodos exitosos utilizados por otros grupos.
Conclusión
La aparición de GoGra y familias de malware similares subraya la naturaleza cambiante de las amenazas cibernéticas. A medida que los atacantes continúan encontrando nuevas formas de explotar los servicios en la nube, las organizaciones deben permanecer alerta y adoptar estrategias avanzadas de detección y respuesta a amenazas. Comprender estas tendencias y las técnicas empleadas por los actores de amenazas es crucial para estar un paso por delante en la batalla en curso contra el ciberespionaje.
