Кибератака в Южной Азии с использованием бэкдора GoGra
Недавняя кибератака на неназванную медиа-организацию в Южной Азии подчеркивает растущую тенденцию среди злоумышленников использовать законные облачные сервисы для своей вредоносной деятельности. В атаке, произошедшей в ноябре 2023 года, был задействован недавно обнаруженный бэкдор GoGra на базе Go, предположительно созданный государственной хакерской группой, известной как Harvester.
GoGra отличается тем, что использует API Microsoft Graph для связи с сервером управления и контроля (C&C), размещенным в почтовых службах Microsoft. Этот метод позволяет вредоносному ПО оставаться вне поля зрения, смешиваясь с обычным трафиком и затрудняя его обнаружение.
Table of Contents
Как работает GoGra
Бэкдор GoGra предназначен для взаимодействия с определенным именем пользователя Outlook, «FNU LNU», и обрабатывает электронные письма, тема которых начинается с «Ввод». При получении такого сообщения GoGra расшифровывает контент с помощью алгоритма AES-256 в режиме Cipher Block Chaining (CBC). Расшифрованные инструкции затем выполняются через cmd.exe, интерпретатор командной строки в Windows. Результаты этих команд шифруются и отправляются обратно тому же пользователю с темой, начинающейся с «Вывод».
Более широкая тенденция использования облачных сервисов
Инцидент с GoGra — не единичный случай. Это представляет собой более широкую тенденцию, когда киберзлоумышленники все чаще используют законные облачные сервисы для своих операций. Этот подход предлагает несколько преимуществ для злоумышленников, в том числе возможность избежать обнаружения, смешиваясь с обычным сетевым трафиком, и избежать необходимости инвестировать в выделенную инфраструктуру.
Некоторые другие известные примеры включают в себя:
- Инструмент утечки данных Firefly : этот инструмент использовался при кибератаке на военную организацию в Юго-Восточной Азии. Этот инструмент загружает украденные данные на Google Диск с помощью жестко запрограммированного токена обновления.
- Grager Backdoor : развернутый против организаций в Тайване, Гонконге и Вьетнаме, Grager использует API Microsoft Graph для связи с C&C-сервером, размещенным в Microsoft OneDrive. Эта деятельность была связана с подозреваемым китайским злоумышленником UNC5330.
- MoonTag : еще один бэкдор, который взаимодействует с API Graph и приписывается китайскоязычному злоумышленнику.
- Onedrivetools : это вредоносное ПО нацелено на компании, предоставляющие ИТ-услуги в США и Европе, которые используют OneDrive для своих командных коммуникаций.
Последствия
Растущее использование облачных сервисов для операций командования и контроля указывает на изменение тактики среди групп кибершпионажа. Используя такие платформы, как Microsoft 365 и Google Drive, злоумышленники могут использовать доверие и легитимность, связанные с этими службами, для осуществления своих вредоносных действий. Тот факт, что все больше и больше субъектов применяют эти методы, свидетельствует о растущей тенденции, когда субъекты шпионажа внимательно изучают и имитируют успешные методы, используемые другими группами.
Заключение
Появление GoGra и подобных семейств вредоносных программ подчеркивает развивающийся характер киберугроз. Поскольку злоумышленники продолжают находить новые способы использования облачных сервисов, организации должны сохранять бдительность и применять передовые стратегии обнаружения угроз и реагирования на них. Понимание этих тенденций и методов, используемых злоумышленниками, имеет решающее значение для того, чтобы оставаться на шаг впереди в продолжающейся борьбе с кибершпионажем.
