Dél-Ázsia kibertámadás a GoGra Backdoor Threat használatával

A közelmúltban egy meg nem nevezett dél-ázsiai médiaszervezet elleni kibertámadás rávilágít arra a növekvő tendenciára, hogy a fenyegetés szereplői a legális felhőszolgáltatásokat használják fel rosszindulatú tevékenységeikhez. A 2023 novemberében történt támadás egy újonnan felfedezett, Go-alapú, GoGra nevű hátsó ajtót érintett, amelyről úgy gondolják, hogy a Harvester néven ismert nemzetállami hackercsoport munkája.

A GoGra azzal tűnik ki, hogy a Microsoft Graph API-t használja a Microsoft levelezőszolgáltatásokon tárolt parancs- és vezérlőkiszolgálóval való kommunikációhoz. Ez a technika lehetővé teszi, hogy a rosszindulatú program a radar alatt maradjon, beleolvad a normál forgalomba, és megnehezíti az észlelést.

Hogyan működik a GoGra

A GoGra hátsó ajtót úgy tervezték, hogy kölcsönhatásba lépjen egy adott Outlook felhasználónévvel, az „FNU LNU”-val, és feldolgozza az „Input” kezdetű tárgysorral rendelkező e-maileket. Amikor ilyen üzenetet kap, a GoGra visszafejti a tartalmat az AES-256 algoritmus segítségével Cipher Block Chaining (CBC) módban. A visszafejtett utasításokat ezután a cmd.exe, a Windows parancssori értelmezője hajtja végre. Ezeknek a parancsoknak az eredményei titkosítva vannak, és ugyanannak a felhasználónak küldik vissza a „Kimenet” kezdetű tárgysorral.

A felhőszolgáltatások kiaknázásának szélesebb irányzata

A GoGra-incidens nem egyedi eset. Ez egy tágabb trendet képvisel, ahol a kibertámadók egyre gyakrabban használnak ki legális felhőszolgáltatásokat tevékenységeikhez. Ez a megközelítés számos előnnyel jár a fenyegetés szereplői számára, beleértve azt a képességet, hogy a rendszeres hálózati forgalomba keveredve elkerülhető az észlelés, és elkerülhető legyen a dedikált infrastruktúrába való befektetés.

Néhány egyéb figyelemre méltó példa:

• Firefly adatkiszűrési eszköze : Ezt az eszközt egy délkelet-ázsiai katonai szervezet elleni kibertámadásban használták, és egy kemény kódolt frissítési token segítségével tölti fel az ellopott adatokat a Google Drive-ra.
• Grager Backdoor : A tajvani, hongkongi és vietnámi szervezetek ellen bevezetett Grager a Microsoft Graph API-t használja a Microsoft OneDrive-on tárolt C&C szerverrel való kommunikációhoz. Ezt a tevékenységet egy feltételezett kínai fenyegetettséggel, az UNC5330-assal hozták kapcsolatba.
• MoonTag : Egy másik hátsó ajtó, amely a Graph API-val kommunikál, és egy kínaiul beszélő fenyegetés szereplőjének tulajdonítják.
• Onedrivetools : Ez a rosszindulatú program az Egyesült Államokban és Európában működő IT-szolgáltató vállalatokat célozza meg, és a OneDrive-ot használja a C&C kommunikációhoz.

A következmények

A felhőszolgáltatások növekvő használata a parancsnoki és irányítási műveletekhez azt jelzi, hogy a kiberkémkedési csoportok taktikája megváltozott. Az olyan platformok kihasználásával, mint a Microsoft 365 és a Google Drive, a támadók kihasználhatják az ezekhez a szolgáltatásokhoz kapcsolódó bizalmat és legitimitást rosszindulatú tevékenységeik végrehajtására. Az a tény, hogy egyre több szereplő alkalmazza ezeket a technikákat, arra utal, hogy a kémkedés szereplői alaposan tanulmányozzák és utánozzák a más csoportok által használt sikeres módszereket.

Következtetés

A GoGra és hasonló rosszindulatú programcsaládok megjelenése rávilágít a kiberfenyegetések fejlődő természetére. Mivel a támadók továbbra is új módszereket találnak a felhőszolgáltatások kihasználására, a szervezeteknek ébernek kell maradniuk, és fejlett fenyegetésészlelési és -válaszstratégiákat kell alkalmazniuk. E trendek és a fenyegetés szereplői által alkalmazott technikák megértése alapvető fontosságú ahhoz, hogy egy lépéssel a kiberkémkedés elleni küzdelemben továbbra is előrébb maradhassunk.