利用 GoGra 後門威脅進行南亞網路攻擊

最近對南亞一家未具名媒體組織的網路攻擊凸顯了威脅行為者利用合法雲端服務進行惡意活動的趨勢日益明顯。這次攻擊發生在 2023 年 11 月，涉及一個新發現的基於 Go 的後門，名為 GoGra，據信是一個名為 Harvester 的民族國家駭客組織所為。

GoGra 的獨特之處在於利用 Microsoft Graph API 與 Microsoft 郵件服務上託管的命令與控制 (C&C) 伺服器進行通訊。這種技術可以讓惡意軟體保持在雷達之下，與正常流量混合在一起，使其難以偵測。

Table of Contents

GoGra 的運作方式

GoGra 後門旨在與特定的 Outlook 使用者名稱「FNU LNU」進行交互，並處理主題行以「Input」開頭的電子郵件。收到此類訊息後，GoGra 會使用密碼區塊連結 (CBC) 模式下的 AES-256 演算法對內容進行解密。然後，解密的指令透過 Windows 上的命令列解釋器 cmd.exe 執行。這些命令的結果被加密並發送回同一用戶，主題行以「Output」開頭。

雲端服務開發的更廣泛趨勢

GoGra 事件並非孤例。它代表了一種更廣泛的趨勢，即網路攻擊者越來越多地利用合法的雲端服務進行操作。這種方法為威脅行為者提供了多種優勢，包括能夠透過與常規網路流量混合來逃避偵測，以及避免投資專用基礎設施。

其他一些值得注意的例子包括：

Firefly 的資料外洩工具：該工具用於針對東南亞軍事組織的網路攻擊，使用硬編碼刷新令牌將竊取的資料上傳到 Google Drive。
Grager 後門：針對台灣、香港和越南的組織進行部署，Grager 使用 Microsoft Graph API 與 Microsoft OneDrive 上託管的 C&C 伺服器進行通訊。此活動與疑似中國威脅行為者 UNC5330 有關。
MoonTag ：另一個與 Graph API 通訊的後門，由講中文的威脅行為者發起。
Onedrivetools ：此惡意軟體針對美國和歐洲的 IT 服務公司，使用 OneDrive 進行 C&C 通訊。

影響

越來越多地使用雲端服務進行指揮和控制操作，這表明網路間諜組織的策略發生了轉變。透過利用 Microsoft 365 和 Google Drive 等平台，攻擊者可以利用與這些服務相關的信任和合法性來執行惡意活動。越來越多的行為者採用這些技術的事實表明，間諜行為者正在密切研究和模仿其他團體使用的成功方法，這一趨勢正在增長。