- 13,858
- 20
- 8 Ноя 2022
Новый бэкдор использует Outlook и OneDrive для маскировки своей активности.
В ноябре 2023 года неназванная медиа-организация в Южной Азии подверглась атаке с использованием ранее неизвестного зловредного программного обеспечения под названием GoGra. Согласно Для просмотра ссылки Войдиили Зарегистрируйся компании Symantec , GoGra написана на языке Go и использует Microsoft Graph API для взаимодействия с командно-контрольным сервером ( C2 ), размещённым на почтовых службах Microsoft.
Способ доставки GoGra в целевые системы пока неизвестен, однако доподлинно известно то, что в рассмотренной вредоносной кампании GoGra была настроена на чтение сообщений от пользователя Outlook с именем «FNU LNU», которые имели тему, начинавшуюся со слова «Input». Содержимое сообщений затем расшифровывалось с использованием алгоритма AES-256 в режиме Cipher Block Chaining (CBC), после чего вредоносные команды выполнялись через «cmd.exe». Результаты операции также шифровались и отправлялись тому же пользователю, но уже с темой «Output».
Считается, что GoGra является разработкой группы хакеров, известных как Harvester, из-за схожести с кастомным .NET-имплантом Graphon, который также использует Graph API для C2-операций Эта ситуация подчёркивает возрастающую тенденцию злоумышленников использовать легитимные облачные сервисы для маскировки своей деятельности и избегания необходимости покупки специализированной инфраструктуры.
Среди других новых семейств вредоносного ПО, использующих подобные техники, можно выделить:
В ноябре 2023 года неназванная медиа-организация в Южной Азии подверглась атаке с использованием ранее неизвестного зловредного программного обеспечения под названием GoGra. Согласно Для просмотра ссылки Войди
Способ доставки GoGra в целевые системы пока неизвестен, однако доподлинно известно то, что в рассмотренной вредоносной кампании GoGra была настроена на чтение сообщений от пользователя Outlook с именем «FNU LNU», которые имели тему, начинавшуюся со слова «Input». Содержимое сообщений затем расшифровывалось с использованием алгоритма AES-256 в режиме Cipher Block Chaining (CBC), после чего вредоносные команды выполнялись через «cmd.exe». Результаты операции также шифровались и отправлялись тому же пользователю, но уже с темой «Output».
Считается, что GoGra является разработкой группы хакеров, известных как Harvester, из-за схожести с кастомным .NET-имплантом Graphon, который также использует Graph API для C2-операций Эта ситуация подчёркивает возрастающую тенденцию злоумышленников использовать легитимные облачные сервисы для маскировки своей деятельности и избегания необходимости покупки специализированной инфраструктуры.
Среди других новых семейств вредоносного ПО, использующих подобные техники, можно выделить:
- Инструмент для эксфильтрации данных, применённый в кибератаке на военную организацию в Юго-Восточной Азии. Собранная информация загружается на Google Drive с использованием жёстко закодированного токена обновления.
- Новый бэкдор под названием Grager, использованный против трёх организаций в Тайване, Гонконге и Вьетнаме в апреле этого года. Он использует Graph API для подключения к C2-серверу, размещённому на Microsoft OneDrive. Grager также имеет связи с китайской группировкой UNC5330.
- Бэкдор MoonTag, который обладает функциональностью для общения с Graph API и приписывается китаеязычным хакерам.
- Бэкдор Onedrivetools, использовавшийся против IT-компаний в США и Европе. Он взаимодействует с C2-сервером на OneDrive для выполнения команд и сохранения результатов.
- Источник новости
- www.securitylab.ru
