Pietų Azijos kibernetinė ataka, panaudota naudojant „GoGra Backdoor Threat“.
Neseniai įvykusi kibernetinė ataka prieš neįvardytą žiniasklaidos organizaciją Pietų Azijoje išryškina didėjančią grėsmės subjektų tendenciją panaudoti teisėtas debesijos paslaugas savo kenkėjiškai veiklai. Išpuolis, įvykęs 2023 m. lapkritį, buvo susijęs su naujai atrastu „Go“ pagrindu veikiančiu užpakaliniu vartu „GoGra“, kuris, kaip manoma, buvo nacionalinės valstybės įsilaužimo grupės, žinomos kaip „Harvester“, darbas.
„GoGra“ išsiskiria tuo, kad naudoja „Microsoft Graph“ API bendrauti su komandų ir valdymo (C&C) serveriu, esančiu „Microsoft“ pašto paslaugose. Ši technika leidžia kenkėjiškai programai likti po radaru, susimaišant su įprastu srautu ir apsunkinant ją aptikti.
Table of Contents
Kaip veikia GoGra
„GoGra“ užpakalinės durys yra sukurtos sąveikauti su konkrečiu „Outlook“ vartotojo vardu „FNU LNU“ ir apdoroja el. laiškus, kurių temos eilutė prasideda „Input“. Gavusi tokį pranešimą, „GoGra“ iššifruoja turinį naudodama AES-256 algoritmą „Cipher Block Chaining“ (CBC) režimu. Tada iššifruotos instrukcijos vykdomos naudojant cmd.exe, komandų eilutės interpretatorių sistemoje Windows. Šių komandų rezultatai užšifruojami ir siunčiami atgal tam pačiam vartotojui su temos eilute, kuri prasideda „Išvestis“.
Platesnė debesų paslaugų naudojimo tendencija
„GoGra“ incidentas nėra pavienis atvejis. Tai rodo platesnę tendenciją, kai kibernetiniai užpuolikai vis dažniau naudojasi teisėtomis debesijos paslaugomis savo veiklai. Šis metodas suteikia keletą privalumų grėsmės veikėjams, įskaitant galimybę išvengti aptikimo, susiliejant su įprastu tinklo srautu ir išvengiant būtinybės investuoti į tam skirtą infrastruktūrą.
Kai kurie kiti pastebimi pavyzdžiai:
- „Firefly“ duomenų išskyrimo įrankis : naudojamas kibernetinei atakai prieš karinę organizaciją Pietryčių Azijoje, šis įrankis įkelia pavogtus duomenis į „Google“ diską naudodamas užkoduotą atnaujinimo prieigos raktą.
- „Grager Backdoor“ : Taivano, Honkongo ir Vietnamo organizacijose įdiegta „Grager“ naudoja „Microsoft Graph“ API bendrauti su C&C serveriu, esančiu „Microsoft OneDrive“. Ši veikla buvo susijusi su įtariamu Kinijos grėsmės veikėju UNC5330.
- MoonTag : dar viena užpakalinė durelė, kuri palaiko ryšį su Graph API ir yra priskiriama kiniškai kalbančiam grėsmės veikėjui.
- „Onedrivetools“ : ši kenkėjiška programa skirta JAV ir Europos IT paslaugų įmonėms, naudojant „OneDrive“ C&C komunikacijai.
Pasekmės
Vis didėjantis debesų paslaugų naudojimas komandų ir valdymo operacijoms rodo kibernetinio šnipinėjimo grupių taktikos pasikeitimą. Naudodami tokias platformas kaip „Microsoft 365“ ir „Google“ diskas, užpuolikai gali išnaudoti su šiomis paslaugomis susijusį pasitikėjimą ir teisėtumą, kad galėtų vykdyti savo kenkėjišką veiklą. Tai, kad vis daugiau veikėjų taiko šiuos metodus, rodo didėjančią tendenciją, kai šnipinėjimo veikėjai atidžiai tiria ir imituoja sėkmingus kitų grupių naudojamus metodus.
Išvada
„GoGra“ ir panašių kenkėjiškų programų šeimų atsiradimas pabrėžia besikeičiantį kibernetinių grėsmių pobūdį. Užpuolikams ir toliau ieškant naujų debesijos paslaugų išnaudojimo būdų, organizacijos turi išlikti budrios ir taikyti pažangias grėsmių aptikimo ir reagavimo strategijas. Šių tendencijų ir grėsmės veikėjų taikomų metodų supratimas yra labai svarbus norint išlikti žingsniu priekyje vykstančioje kovoje su kibernetiniu šnipinėjimu.
