GoGra バックドア脅威を利用した南アジアへのサイバー攻撃
南アジアの無名のメディア組織に対する最近のサイバー攻撃は、脅威アクターが悪意のある活動に正規のクラウド サービスを利用する傾向が高まっていることを浮き彫りにしています。2023 年 11 月に発生したこの攻撃には、新たに発見された Go ベースのバックドア「GoGra」が関与しており、これは Harvester として知られる国家レベルのハッキング グループによるものだと考えられています。
GoGra は、Microsoft Graph API を使用して、Microsoft メール サービスでホストされているコマンド アンド コントロール (C&C) サーバーと通信することで、他と一線を画しています。この手法により、マルウェアはレーダーに引っかからず、通常のトラフィックに紛れ込み、検出が困難になります。
Table of Contents
GoGraの運営方法
GoGra バックドアは、特定の Outlook ユーザー名「FNU LNU」とやり取りするように設計されており、件名が「Input」で始まるメールを処理します。このようなメッセージを受信すると、GoGra は暗号ブロック チェーン (CBC) モードで AES-256 アルゴリズムを使用してコンテンツを復号化します。復号化された命令は、Windows のコマンド ライン インタープリタである cmd.exe によって実行されます。これらのコマンドの結果は暗号化され、「Output」で始まる件名で同じユーザーに返送されます。
クラウドサービス活用の幅広い傾向
GoGra の事件は、孤立したケースではありません。サイバー攻撃者が正当なクラウド サービスを悪用して活動するケースが増えているという、より広範な傾向を表しています。このアプローチは、通常のネットワーク トラフィックに紛れ込んで検出を回避したり、専用のインフラストラクチャに投資する必要がなくなったりするなど、脅威の攻撃者にいくつかの利点をもたらします。
その他の注目すべき例としては、以下のものがあります。
- Firefly のデータ窃盗ツール: 東南アジアの軍事組織に対するサイバー攻撃で使用されたこのツールは、ハードコードされた更新トークンを使用して盗まれたデータを Google ドライブにアップロードします。
- Grager バックドア: 台湾、香港、ベトナムの組織に対して展開された Grager は、Microsoft Graph API を使用して、Microsoft OneDrive でホストされている C&C サーバーと通信します。このアクティビティは、中国の脅威アクターと疑われる UNC5330 に関連しています。
- MoonTag : Graph API と通信し、中国語を話す脅威アクターによるものとされる別のバックドア。
- Onedrivetools : このマルウェアは、C&C 通信に OneDrive を使用して、米国とヨーロッパの IT サービス企業を標的とします。
意味合い
クラウド サービスがコマンド アンド コントロール操作にますます利用されていることは、サイバー スパイ グループ間の戦術の変化を示しています。Microsoft 365 や Google Drive などのプラットフォームを活用することで、攻撃者はこれらのサービスに関連する信頼性と正当性を悪用して悪意のある活動を実行できます。これらの手法を採用するアクターが増えているという事実は、スパイ アクターが他のグループが使用する成功した手法を綿密に研究し、模倣する傾向が強まっていることを示しています。
結論
GoGra や類似のマルウェア ファミリの出現は、サイバー脅威の進化を浮き彫りにしています。攻撃者はクラウド サービスを悪用する新しい方法を見つけ続けているため、組織は警戒を怠らず、高度な脅威検出および対応戦略を採用する必要があります。これらの傾向と脅威アクターが使用する手法を理解することは、サイバー スパイとの継続的な戦いで常に一歩先んじるために不可欠です。
