Cyberattack från Sydasien utnyttjas genom att använda GoGra Backdoor Threat

En nyligen genomförd cyberattack mot en icke namngiven medieorganisation i Sydasien belyser den ökande trenden bland hotaktörer att utnyttja legitima molntjänster för sina skadliga aktiviteter. Attacken, som inträffade i november 2023, involverade en nyupptäckt Go-baserad bakdörr vid namn GoGra, som tros vara ett verk av en nationalstatlig hackningsgrupp känd som Harvester.

GoGra utmärker sig genom att använda Microsoft Graph API för att kommunicera med en kommando-och-kontroll-server (C&C) på Microsofts e-posttjänster. Den här tekniken gör att skadlig programvara förblir under radarn, smälter in i normal trafik och gör den svår att upptäcka.

Hur GoGra fungerar

GoGra-bakdörren är utformad för att interagera med ett specifikt Outlook-användarnamn, "FNU LNU", och behandlar e-postmeddelanden med ämnesraden som börjar med "Input". När GoGra tar emot ett sådant meddelande dekrypterar innehållet med AES-256-algoritmen i Cipher Block Chaining-läge (CBC). De dekrypterade instruktionerna exekveras sedan via cmd.exe, en kommandoradstolk på Windows. Resultaten av dessa kommandon krypteras och skickas tillbaka till samma användare med en ämnesrad som börjar med "Output".

Den bredare trenden för exploatering av molntjänster

GoGra-incidenten är inte ett isolerat fall. Det representerar en bredare trend där cyberangripare i allt högre grad utnyttjar legitima molntjänster för sin verksamhet. Detta tillvägagångssätt erbjuder flera fördelar för hotaktörer, inklusive möjligheten att undvika upptäckt genom att smälta in i vanlig nätverkstrafik och undvika behovet av att investera i dedikerad infrastruktur.

Några andra anmärkningsvärda exempel inkluderar:

• Fireflys verktyg för dataexfiltrering : Det här verktyget används i en cyberattack mot en militär organisation i Sydostasien och laddar upp stulen data till Google Drive med hjälp av en hårdkodad uppdateringstoken.
• Grager Backdoor : Utplacerat mot organisationer i Taiwan, Hongkong och Vietnam använder Grager Microsoft Graph API för att kommunicera med en C&C-server på Microsoft OneDrive. Denna aktivitet har kopplats till en misstänkt kinesisk hotaktör, UNC5330.
• MoonTag : Ytterligare en bakdörr som kommunicerar med Graph API och tillskrivs en kinesisktalande hotaktör.
• Onedrivetools : Denna skadliga programvara riktar sig till IT-tjänsteföretag i USA och Europa och använder OneDrive för sin C&C-kommunikation.

Implikationerna

Den växande användningen av molntjänster för kommando-och-kontrolloperationer indikerar ett skifte i taktik bland cyberspionagegrupper. Genom att utnyttja plattformar som Microsoft 365 och Google Drive kan angripare utnyttja förtroendet och legitimiteten som är förknippade med dessa tjänster för att utföra sina skadliga aktiviteter. Det faktum att fler och fler aktörer tar till sig dessa tekniker tyder på en växande trend där spionageaktörer noggrant studerar och efterliknar framgångsrika metoder som används av andra grupper.

Slutsats

Framväxten av GoGra och liknande skadliga programfamiljer understryker cyberhotens föränderliga natur. När angripare fortsätter att hitta nya sätt att utnyttja molntjänster måste organisationer förbli vaksamma och anta avancerade hotdetektions- och svarsstrategier. Att förstå dessa trender och de tekniker som används av hotaktörer är avgörande för att ligga steget före i den pågående kampen mot cyberspionage.