Cyberattaque en Asie du Sud exploitée en utilisant la menace de porte dérobée GoGra

Une récente cyberattaque contre une organisation médiatique anonyme en Asie du Sud met en évidence la tendance croissante des acteurs malveillants à exploiter des services cloud légitimes pour leurs activités malveillantes. L'attaque, qui a eu lieu en novembre 2023, impliquait une porte dérobée basée sur Go récemment découverte, nommée GoGra, qui serait l'œuvre d'un groupe de piratage informatique d'un État-nation connu sous le nom de Harvester.

GoGra se distingue en utilisant l'API Microsoft Graph pour communiquer avec un serveur de commande et de contrôle (C&C) hébergé sur les services de messagerie Microsoft. Cette technique permet au malware de rester sous le radar, de se fondre dans le trafic normal et de le rendre difficile à détecter.

Comment fonctionne GoGra

La porte dérobée GoGra est conçue pour interagir avec un nom d'utilisateur Outlook spécifique, « FNU LNU », et traite les e-mails dont la ligne d'objet commence par « Entrée ». Dès réception d'un tel message, GoGra décrypte le contenu à l'aide de l'algorithme AES-256 en mode Cipher Block Chaining (CBC). Les instructions décryptées sont ensuite exécutées via cmd.exe, un interpréteur de ligne de commande sous Windows. Les résultats de ces commandes sont chiffrés et renvoyés au même utilisateur avec une ligne d'objet commençant par « Sortie ».

La tendance plus large de l’exploitation des services cloud

L'incident de GoGra n'est pas un cas isolé. Il s’agit d’une tendance plus large selon laquelle les cyberattaquants exploitent de plus en plus des services cloud légitimes pour leurs opérations. Cette approche offre plusieurs avantages aux acteurs de la menace, notamment la possibilité d'échapper à la détection en se fondant dans le trafic réseau régulier et en évitant d'avoir à investir dans une infrastructure dédiée.

Voici quelques autres exemples notables :

• Outil d'exfiltration de données de Firefly : utilisé lors d'une cyberattaque contre une organisation militaire en Asie du Sud-Est, cet outil télécharge les données volées sur Google Drive à l'aide d'un jeton d'actualisation codé en dur.
• Grager Backdoor : Déployé contre des organisations à Taiwan, à Hong Kong et au Vietnam, Grager utilise l'API Microsoft Graph pour communiquer avec un serveur C&C hébergé sur Microsoft OneDrive. Cette activité a été liée à un acteur menaçant chinois présumé, UNC5330.
• MoonTag : Une autre porte dérobée qui communique avec l'API Graph et est attribuée à un acteur menaçant parlant chinois.
• Onedrivetools : Ce malware cible les sociétés de services informatiques aux États-Unis et en Europe, utilisant OneDrive pour ses communications C&C.

Les implications

L’utilisation croissante des services cloud pour les opérations de commandement et de contrôle indique un changement de tactique parmi les groupes de cyberespionnage. En exploitant des plateformes telles que Microsoft 365 et Google Drive, les attaquants peuvent exploiter la confiance et la légitimité associées à ces services pour mener à bien leurs activités malveillantes. Le fait que de plus en plus d’acteurs adoptent ces techniques suggère une tendance croissante selon laquelle les acteurs de l’espionnage étudient de près et imitent les méthodes efficaces utilisées par d’autres groupes.

Conclusion

L’émergence de GoGra et d’autres familles de logiciels malveillants similaires souligne la nature évolutive des cybermenaces. Alors que les attaquants continuent de trouver de nouvelles façons d’exploiter les services cloud, les organisations doivent rester vigilantes et adopter des stratégies avancées de détection et de réponse aux menaces. Comprendre ces tendances et les techniques employées par les acteurs de la menace est crucial pour garder une longueur d'avance dans la lutte en cours contre le cyberespionnage.