Attacco informatico nell'Asia meridionale sfruttato utilizzando la minaccia backdoor GoGra

Un recente attacco informatico contro un’organizzazione mediatica anonima nell’Asia meridionale evidenzia la tendenza crescente tra gli autori delle minacce a sfruttare servizi cloud legittimi per le loro attività dannose. L'attacco, avvenuto nel novembre 2023, ha coinvolto una backdoor basata su Go denominata GoGra, recentemente scoperta, ritenuta opera di un gruppo di hacker a livello nazionale noto come Harvester.

GoGra si distingue utilizzando l'API Microsoft Graph per comunicare con un server di comando e controllo (C&C) ospitato sui servizi di posta Microsoft. Questa tecnica consente al malware di rimanere nascosto, confondendosi con il traffico normale e rendendone difficile il rilevamento.

Come funziona GoGra

La backdoor GoGra è progettata per interagire con un nome utente specifico di Outlook, "FNU LNU", ed elabora i messaggi di posta elettronica con la riga dell'oggetto che inizia con "Input". Dopo aver ricevuto un messaggio di questo tipo, GoGra decrittografa il contenuto utilizzando l'algoritmo AES-256 in modalità Cipher Block Chaining (CBC). Le istruzioni decrittografate vengono quindi eseguite tramite cmd.exe, un interprete della riga di comando su Windows. I risultati di questi comandi vengono crittografati e inviati allo stesso utente con una riga dell'oggetto che inizia con "Output".

La tendenza più ampia allo sfruttamento dei servizi cloud

L’incidente di GoGra non è un caso isolato. Rappresenta una tendenza più ampia in cui gli aggressori informatici sfruttano sempre più servizi cloud legittimi per le loro operazioni. Questo approccio offre numerosi vantaggi agli autori delle minacce, inclusa la capacità di eludere il rilevamento fondendosi con il normale traffico di rete ed evitando la necessità di investire in infrastrutture dedicate.

Alcuni altri esempi degni di nota includono:

• Strumento di esfiltrazione dei dati di Firefly : utilizzato in un attacco informatico contro un'organizzazione militare nel sud-est asiatico, questo strumento carica i dati rubati su Google Drive utilizzando un token di aggiornamento hardcoded.
• Grager Backdoor : distribuito contro organizzazioni a Taiwan, Hong Kong e Vietnam, Grager utilizza l'API Microsoft Graph per comunicare con un server C&C ospitato su Microsoft OneDrive. Questa attività è stata collegata a un sospetto attore di minacce cinese, UNC5330.
• MoonTag : un'altra backdoor che comunica con l'API Graph ed è attribuita a un attore di minacce di lingua cinese.
• Onedrivetools : questo malware prende di mira le società di servizi IT negli Stati Uniti e in Europa, che utilizzano OneDrive per le comunicazioni C&C.

Le implicazioni

Il crescente utilizzo di servizi cloud per operazioni di comando e controllo indica un cambiamento nelle tattiche tra i gruppi di spionaggio informatico. Sfruttando piattaforme come Microsoft 365 e Google Drive, gli aggressori possono sfruttare la fiducia e la legittimità associate a questi servizi per svolgere le proprie attività dannose. Il fatto che sempre più attori adottino queste tecniche suggerisce una tendenza crescente secondo cui gli attori dello spionaggio studiano da vicino e imitano i metodi di successo utilizzati da altri gruppi.

Conclusione

L’emergere di GoGra e di famiglie di malware simili sottolinea la natura in evoluzione delle minacce informatiche. Mentre gli aggressori continuano a trovare nuovi modi per sfruttare i servizi cloud, le organizzazioni devono rimanere vigili e adottare strategie avanzate di rilevamento e risposta alle minacce. Comprendere queste tendenze e le tecniche utilizzate dagli autori delle minacce è fondamentale per rimanere un passo avanti nella battaglia in corso contro lo spionaggio informatico.