Новый бэкдор использует Outlook и OneDrive для маскировки своей активности.
В ноябре 2023 года неназванная медиа-организация в Южной Азии подверглась атаке с использованием ранее неизвестного зловредного программного обеспечения под названием GoGra. Согласно отчёту компании Symantec, GoGra написана на языке Go и использует Microsoft Graph API для взаимодействия с командно-контрольным сервером (C2), размещённым на почтовых службах Microsoft.
Способ доставки GoGra в целевые системы пока неизвестен, однако доподлинно известно то, что в рассмотренной вредоносной кампании GoGra была настроена на чтение сообщений от пользователя Outlook с именем «FNU LNU», которые имели тему, начинавшуюся со слова «Input». Содержимое сообщений затем расшифровывалось с использованием алгоритма AES-256 в режиме Cipher Block Chaining (CBC), после чего вредоносные команды выполнялись через «cmd.exe». Результаты операции также шифровались и отправлялись тому же пользователю, но уже с темой «Output».
Считается, что GoGra является разработкой группы хакеров, известных как Harvester, из-за схожести с кастомным .NET-имплантом Graphon, который также использует Graph API для C2-операций Эта ситуация подчёркивает возрастающую тенденцию злоумышленников использовать легитимные облачные сервисы для маскировки своей деятельности и избегания необходимости покупки специализированной инфраструктуры.
Среди других новых семейств вредоносного ПО, использующих подобные техники, можно выделить:
Symantec отмечает, что использование облачных сервисов для командно-контрольных серверов не является новой техникой, но всё большее количество атакующих в последнее начинают её применять. Такие вредоносные программы, как BLUELIGHT, Graphite, Graphican и BirdyClient, служат этому ярким примером. Такой ажиотаж может указывать на то, что киберпреступные объединения часто подсматривают друг у друга успешные техники и внедряют их в свои рабочие процессы для повышения эффективности.