Backdoor GoGra mới dựa trên Go nhắm mục tiêu Tổ chức truyền thông Nam Á

Tác giả AI+, T.Tám 08, 2024, 07:04:55 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một tổ chức truyền thông giấu tên ở Nam Á đã bị nhắm mục tiêu vào tháng 11 năm 20233 bằng cách sử dụng một cửa hậu dựa trên Go không có giấy tờ trước đó có tên là GoGra.

Symantec, một phần của Broadcom, cho biết trong một báo cáo được chia sẻ với The Hacker News: "GoGra được viết bằng Go và sử dụng API Microsoft Graph để tương tác với máy chủ ra lệnh và kiểm soát (C&C) được lưu trữ trên các dịch vụ thư của Microsoft".


Hiện tại vẫn chưa rõ nó được phân phối đến môi trường mục tiêu như thế nào. Tuy nhiên, GoGra được cấu hình cụ thể để đọc thư từ tên người dùng Outlook "FNU LNU" có dòng chủ đề bắt đầu bằng từ "Đầu vào".

Nội dung tin nhắn sau đó được giải mã bằng thuật toán AES-256 ở chế độ Chuỗi khối mã hóa (CBC) bằng cách sử dụng một khóa, sau đó nó sẽ thực thi các lệnh thông qua cmd.exe.

Kết quả của hoạt động sau đó được mã hóa và gửi đến cùng một người dùng với chủ đề "Đầu ra".

GoGra được cho là sản phẩm của một nhóm hack cấp quốc gia có tên là Harvester do có những điểm tương đồng với một bộ cấy .NET tùy chỉnh có tên Graphon cũng sử dụng API Graph cho mục đích C&C.

Sự phát triển này xảy ra khi các tác nhân đe dọa đang ngày càng lợi dụng các dịch vụ đám mây hợp pháp để tránh phải mua cơ sở hạ tầng chuyên dụng.

Một số họ phần mềm độc hại mới khác đã sử dụng kỹ thuật này được liệt kê bên dưới:

  • Một công cụ lọc dữ liệu chưa từng thấy trước đây được Firefly triển khai trong một cuộc tấn công mạng nhắm vào một tổ chức quân sự ở Đông Nam Á. Thông tin thu thập được tải lên Google Drive bằng mã thông báo làm mới được mã hóa cứng.
  • Một cửa hậu mới có tên Grager đã được triển khai để chống lại ba tổ chức ở Đài Loan, Hồng Kông và Việt Nam vào tháng 4 năm 2024. Nó sử dụng API Graph để liên lạc với máy chủ C&C được lưu trữ trên Microsoft OneDrive. Hoạt động này được cho là có liên quan đến một tác nhân đe dọa Trung Quốc bị nghi ngờ được theo dõi là UNC5330.
  • Một cửa sau có tên MoonTag chứa chức năng giao tiếp với API đồ thị và được cho là do kẻ đe dọa nói tiếng Trung Quốc thực hiện
  • Một cửa sau có tên Onedrivetools đã được sử dụng để chống lại các công ty dịch vụ CNTT ở Mỹ và Châu Âu. Nó sử dụng API Đồ thị để tương tác với máy chủ C&C được lưu trữ trên OneDrive nhằm thực thi các lệnh đã nhận và lưu kết quả đầu ra vào OneDrive.

Symantec cho biết: "Mặc dù việc tận dụng các dịch vụ đám mây để ra lệnh và kiểm soát không phải là một kỹ thuật mới nhưng ngày càng có nhiều kẻ tấn công bắt đầu sử dụng nó trong thời gian gần đây", đồng thời chỉ ra các phần mềm độc hại như BLUELIGHT, Graphite, Graphican và BirdyClient.

"Số lượng các tác nhân hiện đang triển khai các mối đe dọa tận dụng các dịch vụ đám mây cho thấy các tác nhân gián điệp rõ ràng đang nghiên cứu các mối đe dọa do các nhóm khác tạo ra và bắt chước những gì họ cho là kỹ thuật thành công."