Uma organização de mídia não identificada no sul da Ásia foi alvo de um ataque em novembro de 20233 usando um backdoor baseado em Go, anteriormente não documentado, chamado GoGra.
“O GoGra é escrito em Go e usa a API do Microsoft Graph para interagir com um servidor de comando e controle (C&C) hospedado nos serviços de e-mail da Microsoft”, disse a Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker Information.
Atualmente não está claro como ele é entregue aos ambientes de destino. No entanto, o GoGra é configurado especificamente para ler mensagens de um nome de usuário do Outlook “FNU LNU” cuja linha de assunto começa com a palavra “Enter”.
O conteúdo da mensagem é então descriptografado usando o algoritmo AES-256 no modo Cipher Block Chaining (CBC) usando uma chave, após o qual ele executa os comandos through cmd.exe.
Os resultados da operação são então criptografados e enviados ao mesmo usuário com o assunto “Saída”.
Dizem que o GoGra é o trabalho de um grupo de hackers de um estado-nação conhecido como Harvester devido às suas semelhanças com um implante .NET personalizado chamado Graphon, que também utiliza a API Graph para fins de C&C.
O desenvolvimento ocorre em um momento em que os agentes de ameaças estão cada vez mais aproveitando serviços de nuvem legítimos para permanecerem discretos e evitar a necessidade de comprar infraestrutura dedicada.
Algumas das outras novas famílias de malware que empregaram a técnica estão listadas abaixo –
- Uma ferramenta de exfiltração de dados nunca vista antes, implantada pela Firefly em um ataque cibernético visando uma organização militar no Sudeste Asiático. As informações coletadas são carregadas no Google Drive usando um token de atualização codificado.
- Um novo backdoor chamado Grager que foi implantado contra três organizações em Taiwan, Hong Kong e Vietnã em abril de 2024. Ele usa a Graph API para se comunicar com um servidor C&C hospedado no Microsoft OneDrive. A atividade foi provisoriamente vinculada a um suposto ator de ameaça chinês rastreado como UNC5330.
- Um backdoor conhecido como MoonTag que contém funcionalidade para comunicação com a Graph API e é atribuído a um agente de ameaça de língua chinesa
- Um backdoor chamado Onedrivetools que tem sido usado contra empresas de serviços de TI nos EUA e na Europa. Ele usa a Graph API para interagir com um servidor C&C hospedado no OneDrive para executar comandos recebidos e salvar a saída no OneDrive.
“Embora aproveitar serviços de nuvem para comando e controle não seja uma técnica nova, mais e mais invasores começaram a usá-la recentemente”, disse a Symantec, apontando para malwares como BLUELIGHT, Graphite, Graphican e BirdyClient.
“O número de atores que agora implementam ameaças que aproveitam serviços de nuvem sugere que os agentes de espionagem estão claramente estudando ameaças criadas por outros grupos e imitando o que eles percebem como técnicas bem-sucedidas.”
