Uma organização de mídia não nomeada no Sul da Ásia foi alvo em novembro de 2023 de um ataque cibernético usando uma backdoor baseada em Go até então não documentada, chamada GoGra.
"GoGra é escrita em Go e utiliza a Microsoft Graph API para interagir com um servidor de comando e controle (C&C) hospedado nos serviços de correio da Microsoft," Symantec, parte da Broadcom, afirmou em um relatório.
Até o momento, não está claro como o GoGra é entregue aos ambientes alvo, ele é especificamente configurado para ler mensagens de um nome de usuário do Outlook "FNU LNU" cuja linha de assunto começa com a palavra "Input".
Os conteúdos das mensagens são então descriptografados usando o algoritmo AES-256 no modo Cipher Block Chaining (CBC) usando uma chave, seguindo o qual executa os comandos via cmd.exe.
Os resultados da operação são então criptografados e enviados para o mesmo usuário com o assunto "Output." Diz-se que o GoGra é obra de um grupo de hacking patrocinado por um estado-nação, conhecido como Harvester, devido às suas semelhanças com um implante .NET personalizado chamado Graphon que também utiliza a Graph API para fins de C&C.
Esse desenvolvimento ocorre à medida que os atores de ameaças têm aproveitado cada vez mais os serviços de nuvem legítimos para se manter discretos e evitar ter que comprar infraestrutura dedicada.
Algumas das outras novas famílias de malware que empregaram a técnica estão listadas abaixo -
Uma ferramenta de exfiltração de dados até então não vista, implantada pelo Firefly em um ataque cibernético visando uma organização militar no Sudeste Asiático.
As informações coletadas são carregadas no Google Drive usando um token de atualização codificado.
Um novo backdoor denominado Grager foi implantado contra três organizações em Taiwan, Hong Kong e Vietnã em abril de 2024.
Ele usa a Graph API para se comunicar com um servidor C&C hospedado no Microsoft OneDrive.
A atividade foi tentativamente vinculada a um ator de ameaça chinês suspeito rastreado como UNC5330.
Um backdoor conhecido como MoonTag contém funcionalidade para se comunicar com a Graph API e é atribuído a um ator de ameaça de língua chinesa
Um backdoor chamado Onedrivetools tem sido usado contra empresas de serviços de TI nos EUA e na Europa.
Ele usa a Graph API para interagir com um servidor C&C hospedado no OneDrive para executar comandos recebidos e salvar a saída no OneDrive.
"Embora o aproveitamento de serviços em nuvem para comando e controle não seja uma técnica nova, mais e mais atacantes começaram a usá-la recentemente," disse a Symantec, apontando para malware como BLUELIGHT, Graphite, Graphican e BirdyClient.
O número de atores agora implantando ameaças que aproveitam os serviços em nuvem sugere que os atores de espionagem estão claramente estudando as ameaças criadas por outros grupos e imitando o que eles percebem ser técnicas de sucesso.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...