Sør-Asia cyberangrep utnyttet ved å bruke GoGra bakdørstrussel

Et nylig nettangrep på en ikke navngitt medieorganisasjon i Sør-Asia fremhever den økende trenden blant trusselaktører til å utnytte legitime skytjenester for sine ondsinnede aktiviteter. Angrepet, som skjedde i november 2023, involverte en nyoppdaget Go-basert bakdør ved navn GoGra, som antas å være arbeidet til en nasjonalstatlig hackergruppe kjent som Harvester.

GoGra utmerker seg ved å bruke Microsoft Graph API for å kommunisere med en kommando-og-kontroll-server (C&C) som er vert for Microsofts e-posttjenester. Denne teknikken lar skadevare forbli under radaren, blander seg inn i normal trafikk og gjør det vanskelig å oppdage.

Hvordan GoGra fungerer

GoGra-bakdøren er designet for å samhandle med et spesifikt Outlook-brukernavn, "FNU LNU", og behandler e-poster med emnelinjen som begynner med "Input". Når GoGra mottar en slik melding, dekrypterer innholdet ved hjelp av AES-256-algoritmen i Cipher Block Chaining (CBC)-modus. De dekrypterte instruksjonene utføres deretter via cmd.exe, en kommandolinjetolk på Windows. Resultatene av disse kommandoene blir kryptert og sendt tilbake til samme bruker med en emnelinje som starter med "Output".

Den bredere trenden for utnyttelse av skytjenester

GoGra-hendelsen er ikke et isolert tilfelle. Det representerer en bredere trend der cyberangripere i økende grad utnytter legitime skytjenester for sine operasjoner. Denne tilnærmingen gir flere fordeler for trusselaktører, inkludert muligheten til å unndra deteksjon ved å blande seg inn med vanlig nettverkstrafikk og unngå behovet for å investere i dedikert infrastruktur.

Noen andre bemerkelsesverdige eksempler inkluderer:

• Fireflys dataeksfiltreringsverktøy : Brukt i et nettangrep mot en militær organisasjon i Sørøst-Asia, laster dette verktøyet opp stjålne data til Google Disk ved hjelp av et hardkodet oppdateringstoken.
• Grager Backdoor : Utplassert mot organisasjoner i Taiwan, Hong Kong og Vietnam, bruker Grager Microsoft Graph API for å kommunisere med en C&C-server som er vert på Microsoft OneDrive. Denne aktiviteten har blitt knyttet til en mistenkt kinesisk trusselaktør, UNC5330.
• MoonTag : Nok en bakdør som kommuniserer med Graph API og tilskrives en kinesisktalende trusselaktør.
• Onedrivetools : Denne skadelige programvaren retter seg mot IT-tjenesteselskaper i USA og Europa, og bruker OneDrive for sin C&C-kommunikasjon.

Implikasjonene

Den økende bruken av skytjenester for kommando-og-kontroll operasjoner indikerer et skifte i taktikk blant cyberspionasjegrupper. Ved å utnytte plattformer som Microsoft 365 og Google Drive, kan angripere utnytte tilliten og legitimiteten knyttet til disse tjenestene til å utføre sine ondsinnede aktiviteter. Det faktum at flere og flere aktører tar i bruk disse teknikkene antyder en økende trend der spionasjeaktører nøye studerer og etterligner vellykkede metoder brukt av andre grupper.

Konklusjon

Fremveksten av GoGra og lignende malware-familier understreker utviklingen av cybertrusler. Ettersom angripere fortsetter å finne nye måter å utnytte skytjenester på, må organisasjoner være på vakt og ta i bruk avanserte trusseldeteksjons- og responsstrategier. Å forstå disse trendene og teknikkene som brukes av trusselaktører er avgjørende for å ligge et skritt foran i den pågående kampen mot cyberspionasje.