Cyberatak w Azji Południowej wykorzystany przy użyciu zagrożenia typu backdoor GoGra
Niedawny cyberatak na nienazwaną organizację medialną w Azji Południowej uwypukla rosnący trend wśród aktorów zagrożeń do wykorzystywania legalnych usług w chmurze do swoich złośliwych działań. Atak, który miał miejsce w listopadzie 2023 r., obejmował niedawno odkryte tylne wejście oparte na Go o nazwie GoGra, uważane za dzieło państwowej grupy hakerskiej znanej jako Harvester.
GoGra wyróżnia się tym, że wykorzystuje API Microsoft Graph do komunikacji z serwerem poleceń i kontroli (C&C) hostowanym w usługach pocztowych Microsoft. Ta technika pozwala złośliwemu oprogramowaniu pozostać poza radarem, wtapiając się w normalny ruch i utrudniając jego wykrycie.
Table of Contents
Jak działa GoGra
Backdoor GoGra jest zaprojektowany do interakcji z określoną nazwą użytkownika Outlook, „FNU LNU”, i przetwarza wiadomości e-mail z tematem zaczynającym się od „Input”. Po otrzymaniu takiej wiadomości GoGra odszyfrowuje zawartość za pomocą algorytmu AES-256 w trybie Cipher Block Chaining (CBC). Odszyfrowane instrukcje są następnie wykonywane za pomocą cmd.exe, interpretera wiersza poleceń w systemie Windows. Wyniki tych poleceń są szyfrowane i odsyłane do tego samego użytkownika z tematem zaczynającym się od „Output”.
Szerszy trend wykorzystywania usług w chmurze
Incydent GoGra nie jest odosobnionym przypadkiem. Stanowi szerszy trend, w którym cyberprzestępcy coraz częściej wykorzystują legalne usługi w chmurze do swoich operacji. Takie podejście oferuje kilka korzyści podmiotom stanowiącym zagrożenie, w tym możliwość uniknięcia wykrycia poprzez wtapianie się w regularny ruch sieciowy i unikanie konieczności inwestowania w dedykowaną infrastrukturę.
Oto kilka innych godnych uwagi przykładów:
- Narzędzie Firefly do eksfiltracji danych : Narzędzie to zostało użyte w cyberataku na organizację wojskową w Azji Południowo-Wschodniej. Przesyła skradzione dane na Dysk Google przy użyciu zakodowanego na stałe tokena odświeżania.
- Grager Backdoor : Wdrożony przeciwko organizacjom na Tajwanie, w Hongkongu i Wietnamie, Grager używa interfejsu API Microsoft Graph do komunikacji z serwerem C&C hostowanym w usłudze Microsoft OneDrive. Ta aktywność została powiązana z podejrzewanym chińskim aktorem zagrożenia, UNC5330.
- MoonTag : Kolejne tylne wejście komunikujące się z Graph API, przypisywane chińskojęzycznemu podmiotowi stanowiącemu zagrożenie.
- Onedrivetools : Ten rodzaj złośliwego oprogramowania atakuje firmy świadczące usługi informatyczne w USA i Europie, które wykorzystują usługę OneDrive do komunikacji C&C.
Implikacje
Rosnące wykorzystanie usług w chmurze do operacji dowodzenia i kontroli wskazuje na zmianę taktyki wśród grup cyberszpiegowskich. Wykorzystując platformy takie jak Microsoft 365 i Dysk Google, osoby atakujące mogą wykorzystać zaufanie i legalność związane z tymi usługami w celu przeprowadzenia swoich szkodliwych działań. Fakt, że coraz więcej aktorów przyjmuje te techniki, sugeruje rosnącą tendencję, w ramach której aktorzy szpiegowscy uważnie badają i naśladują skuteczne metody stosowane przez inne grupy.
Wniosek
Pojawienie się GoGra i podobnych rodzin złośliwego oprogramowania podkreśla ewoluujący charakter zagrożeń cybernetycznych. Ponieważ napastnicy wciąż znajdują nowe sposoby wykorzystania usług w chmurze, organizacje muszą zachować czujność i przyjąć zaawansowane strategie wykrywania zagrożeń i reagowania. Zrozumienie tych trendów i technik stosowanych przez podmioty zagrażające ma kluczowe znaczenie, aby pozostać o krok do przodu w toczącej się walce z cyberszpiegiem.
