Ataque cibernético no sul da Ásia alavancado pelo uso da ameaça backdoor GoGra

Um recente ataque cibernético a uma organização de comunicação social não identificada no Sul da Ásia destaca a tendência crescente entre os agentes de ameaças de aproveitarem serviços de nuvem legítimos para as suas atividades maliciosas. O ataque, que ocorreu em novembro de 2023, envolveu um backdoor baseado em Go recém-descoberto chamado GoGra, que se acredita ser o trabalho de um grupo de hackers estatal conhecido como Harvester.

GoGra se diferencia por utilizar a API Microsoft Graph para se comunicar com um servidor de comando e controle (C&C) hospedado em serviços de correio da Microsoft. Essa técnica permite que o malware permaneça fora do radar, misturando-se ao tráfego normal e dificultando sua detecção.

Como funciona o GoGra

O backdoor GoGra foi projetado para interagir com um nome de usuário específico do Outlook, “FNU LNU”, e processa e-mails com a linha de assunto começando com “Input”. Ao receber tal mensagem, GoGra descriptografa o conteúdo usando o algoritmo AES-256 no modo Cipher Block Chaining (CBC). As instruções descriptografadas são então executadas via cmd.exe, um interpretador de linha de comando no Windows. Os resultados desses comandos são criptografados e enviados de volta ao mesmo usuário com uma linha de assunto que começa com “Saída”.

A tendência mais ampla de exploração de serviços em nuvem

O incidente do GoGra não é um caso isolado. Representa uma tendência mais ampla em que os ciberataques exploram cada vez mais serviços legítimos em nuvem para as suas operações. Esta abordagem oferece diversas vantagens aos agentes de ameaças, incluindo a capacidade de evitar a detecção, misturando-se com o tráfego regular da rede e evitando a necessidade de investir em infraestrutura dedicada.

Alguns outros exemplos notáveis incluem:

• Ferramenta de exfiltração de dados da Firefly : usada em um ataque cibernético contra uma organização militar no Sudeste Asiático, esta ferramenta carrega dados roubados para o Google Drive usando um token de atualização codificado.
• Grager Backdoor : implantado em organizações em Taiwan, Hong Kong e Vietnã, Grager usa a API Microsoft Graph para se comunicar com um servidor C&C hospedado no Microsoft OneDrive. Esta atividade foi associada a um suspeito de ameaça chinês, UNC5330.
• MoonTag : Outro backdoor que se comunica com a API Graph e é atribuído a um ator de ameaça que fala chinês.
• Onedrivetools : Este malware tem como alvo empresas de serviços de TI nos EUA e na Europa, usando o OneDrive para suas comunicações C&C.

As implicações

O uso crescente de serviços de nuvem para operações de comando e controle indica uma mudança nas táticas entre grupos de espionagem cibernética. Ao alavancar plataformas como Microsoft 365 e Google Drive, os invasores podem explorar a confiança e a legitimidade associadas a esses serviços para realizar suas atividades maliciosas. O fato de que mais e mais atores estão adotando essas técnicas sugere uma tendência crescente em que os atores de espionagem estão estudando de perto e imitando métodos bem-sucedidos usados por outros grupos.

Conclusão

O surgimento do GoGra e de famílias de malware semelhantes ressalta a natureza evolutiva das ameaças cibernéticas. À medida que os invasores continuam a encontrar novas maneiras de explorar serviços de nuvem, as organizações devem permanecer vigilantes e adotar estratégias avançadas de detecção e resposta a ameaças. Entender essas tendências e as técnicas empregadas pelos agentes de ameaças é crucial para permanecer um passo à frente na batalha contínua contra a espionagem cibernética.