Cyberaanval in Zuid-Azië benut door gebruik te maken van GoGra Backdoor Threat
Een recente cyberaanval op een naamloze mediaorganisatie in Zuid-Azië benadrukt de toenemende trend onder bedreigingsactoren om legitieme clouddiensten te gebruiken voor hun kwaadaardige activiteiten. Bij de aanval, die plaatsvond in november 2023, was een nieuw ontdekte op Go gebaseerde achterdeur betrokken, genaamd GoGra, vermoedelijk het werk van een nationale hackgroep die bekend staat als Harvester.
GoGra onderscheidt zich door gebruik te maken van de Microsoft Graph API om te communiceren met een command-and-control (C&C)-server die wordt gehost op Microsoft-mailservices. Deze techniek zorgt ervoor dat de malware onder de radar blijft, opgaat in het normale verkeer en daardoor moeilijk te detecteren is.
Table of Contents
Hoe GoGra werkt
De GoGra-achterdeur is ontworpen om te communiceren met een specifieke Outlook-gebruikersnaam, "FNU LNU", en verwerkt e-mails waarvan de onderwerpregel begint met "Invoer". Na ontvangst van een dergelijk bericht decodeert GoGra de inhoud met behulp van het AES-256-algoritme in de Cipher Block Chaining (CBC)-modus. De gedecodeerde instructies worden vervolgens uitgevoerd via cmd.exe, een opdrachtregelinterpreter op Windows. De resultaten van deze opdrachten worden gecodeerd en teruggestuurd naar dezelfde gebruiker met een onderwerpregel die begint met 'Uitvoer'.
De bredere trend van exploitatie van cloudservices
Het GoGra-incident staat niet op zichzelf. Het vertegenwoordigt een bredere trend waarbij cyberaanvallers steeds vaker legitieme clouddiensten exploiteren voor hun activiteiten. Deze aanpak biedt verschillende voordelen voor bedreigingsactoren, waaronder de mogelijkheid om detectie te omzeilen door op te gaan in het reguliere netwerkverkeer en de noodzaak te vermijden om te investeren in speciale infrastructuur.
Enkele andere opmerkelijke voorbeelden zijn:
- Firefly's Data Exfiltratie Tool : Deze tool wordt gebruikt bij een cyberaanval tegen een militaire organisatie in Zuidoost-Azië en uploadt gestolen gegevens naar Google Drive met behulp van een hardgecodeerd vernieuwingstoken.
- Grager Backdoor : Grager wordt ingezet tegen organisaties in Taiwan, Hong Kong en Vietnam en gebruikt de Microsoft Graph API om te communiceren met een C&C-server die wordt gehost op Microsoft OneDrive. Deze activiteit is in verband gebracht met een vermoedelijke Chinese bedreigingsacteur, UNC5330.
- MoonTag : nog een achterdeur die communiceert met de Graph API en wordt toegeschreven aan een Chineessprekende bedreigingsacteur.
- Onedrivetools : Deze malware richt zich op IT-servicebedrijven in de VS en Europa en gebruikt OneDrive voor hun C&C-communicatie.
De implicaties
Het toenemende gebruik van cloudservices voor command-and-control-operaties duidt op een verschuiving in tactieken onder cyberespionagegroepen. Door gebruik te maken van platforms als Microsoft 365 en Google Drive kunnen aanvallers het vertrouwen en de legitimiteit die aan deze services zijn gekoppeld, misbruiken om hun kwaadaardige activiteiten uit te voeren. Het feit dat steeds meer actoren deze technieken omarmen, duidt op een groeiende trend waarbij spionageactoren succesvolle methoden die door andere groepen worden gebruikt, nauwgezet bestuderen en nabootsen.
Conclusie
De opkomst van GoGra en vergelijkbare malwarefamilies onderstreept de veranderende aard van cyberdreigingen. Omdat aanvallers steeds nieuwe manieren vinden om cloudservices te exploiteren, moeten organisaties waakzaam blijven en geavanceerde strategieën voor detectie en respons op bedreigingen aannemen. Het begrijpen van deze trends en de technieken die door bedreigingsactoren worden gebruikt, is cruciaal om een stap voor te blijven in de voortdurende strijd tegen cyberespionage.
