利用 GoGra 后门威胁发起南亚网络攻击

最近，南亚一家未具名媒体组织遭受网络攻击，突显出威胁行为者利用合法云服务进行恶意活动的趋势日益明显。此次攻击发生在 2023 年 11 月，涉及一个新发现的基于 Go 的后门，名为 GoGra，据信是名为 Harvester 的国家黑客组织所为。

GoGra 的独特之处在于利用 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制 (C&C) 服务器进行通信。这种技术使恶意软件能够隐藏在雷达之下，与正常流量混合，难以被发现。

Table of Contents

GoGra 的运营方式

GoGra 后门旨在与特定的 Outlook 用户名“FNU LNU”交互，并处理主题行以“输入”开头的电子邮件。收到此类消息后，GoGra 使用密码块链接 (CBC) 模式下的 AES-256 算法解密内容。然后通过 Windows 上的命令行解释器 cmd.exe 执行解密的指令。这些命令的结果被加密并以以“输出”开头的主题行发送回同一用户。

云服务利用的广泛趋势

GoGra 事件并非孤例。它代表了一种更广泛的趋势，即网络攻击者越来越多地利用合法的云服务开展攻击。这种方法为威胁行为者提供了多种优势，包括能够通过混入常规网络流量来逃避检测，并避免投资专用基础设施。

其他一些值得注意的例子包括：

Firefly 的数据泄露工具：该工具用于对东南亚军事组织的网络攻击，它使用硬编码的刷新令牌将窃取的数据上传到 Google Drive。
Grager 后门：Grager 针对台湾、香港和越南的组织部署，使用 Microsoft Graph API 与托管在 Microsoft OneDrive 上的 C&C 服务器进行通信。此活动与疑似中国威胁行为者 UNC5330 有关。
MoonTag ：另一个与 Graph API 通信的后门，归因于一个讲中文的威胁行为者。
Onedrivetools ：该恶意软件针对美国和欧洲的 IT 服务公司，使用 OneDrive 进行 C＆C 通信。

启示

云服务在指挥和控制操作中的使用日益增多，表明网络间谍团体的策略发生了转变。通过利用 Microsoft 365 和 Google Drive 等平台，攻击者可以利用与这些服务相关的信任和合法性来开展恶意活动。越来越多的参与者采用这些技术，这一事实表明，间谍行为者正在密切研究和模仿其他团体使用的成功方法，这种趋势正在日益增长。