GoGra скрывается в облаке: никто не застрахован от новой атаки
Новый бэкдор использует Outlook и OneDrive для маскировки своей активности.
В ноябре 2023 года неназванная медиа-организация в Южной Азии подверглась атаке с использованием ранее неизвестного зловредного программного обеспечения под названием GoGra. Согласно отчёту компании Symantec, GoGra написана на языке Go и использует Microsoft Graph API для взаимодействия с командно-контрольным сервером (C2), размещённым на почтовых службах Microsoft.
Способ доставки GoGra в целевые системы пока неизвестен, однако доподлинно известно то, что в рассмотренной вредоносной кампании GoGra была настроена на чтение сообщений от пользователя Outlook с именем «FNU LNU», которые имели тему, начинавшуюся со слова «Input». Содержимое сообщений затем расшифровывалось с использованием алгоритма AES-256 в режиме Cipher Block Chaining (CBC), после чего вредоносные команды выполнялись через «cmd.exe». Результаты операции также шифровались и отправлялись тому же пользователю, но уже с темой «Output».
Считается, что GoGra является разработкой группы хакеров, известных как Harvester, из-за схожести с кастомным .NET-имплантом Graphon, который также использует Graph API для C2-операций Эта ситуация подчёркивает возрастающую тенденцию злоумышленников использовать легитимные облачные сервисы для маскировки своей деятельности и избегания необходимости покупки специализированной инфраструктуры.
Среди других новых семейств вредоносного ПО, использующих подобные техники, можно выделить:
- Инструмент для эксфильтрации данных, применённый в кибератаке на военную организацию в Юго-Восточной Азии. Собранная информация загружается на Google Drive с использованием жёстко закодированного токена обновления.
- Новый бэкдор под названием Grager, использованный против трёх организаций в Тайване, Гонконге и Вьетнаме в апреле этого года. Он использует Graph API для подключения к C2-серверу, размещённому на Microsoft OneDrive. Grager также имеет связи с китайской группировкой UNC5330.
- Бэкдор MoonTag, который обладает функциональностью для общения с Graph API и приписывается китаеязычным хакерам.
- Бэкдор Onedrivetools, использовавшийся против IT-компаний в США и Европе. Он взаимодействует с C2-сервером на OneDrive для выполнения команд и сохранения результатов.
Symantec отмечает, что использование облачных сервисов для командно-контрольных серверов не является новой техникой, но всё большее количество атакующих в последнее начинают её применять. Такие вредоносные программы, как BLUELIGHT, Graphite, Graphican и BirdyClient, служат этому ярким примером. Такой ажиотаж может указывать на то, что киберпреступные объединения часто подсматривают друг у друга успешные техники и внедряют их в свои рабочие процессы для повышения эффективности.