Naujasis „backdoor” naudoja „Outlook” ir „OneDrive”, kad užmaskuotų savo veiklą.
2023 m. lapkritį neįvardyta žiniasklaidos organizacija Pietų Azijoje buvo užpulta naudojant anksčiau nežinomą kenkėjišką programą „GoGra”. Pasak „Symantec” ataskaitos, „GoGra” parašyta „Go” kalba ir naudoja „Microsoft Graph API”, kad palaikytų ryšį su komandų ir kontrolės (C2) serveriu, esančiu „Microsoft” el. pašto tarnybose.
Kol kas nežinomas „GoGra” pateikimo į tikslines sistemas būdas, tačiau žinoma, kad tirtoje kenkėjiškos programinės įrangos kampanijoje „GoGra” buvo sukonfigūruota skaityti „Outlook” naudotojo, pavadinto „FNU LNU”, pranešimus, kurių temos eilutė prasideda žodžiu „Input”. Po to žinučių turinys buvo iššifruojamas naudojant AES-256 algoritmą CBC (Cipher Block Chaining) režimu, po to kenkėjiškos komandos buvo vykdomos per „cmd.exe”. Operacijos rezultatai taip pat buvo užšifruoti ir išsiųsti tam pačiam naudotojui, tačiau su tema „Output”.
Manoma, kad „GoGra” yra įsilaužėlių grupės, žinomos kaip „Harvester”, darbas dėl jos panašumo į pasirinktinį .NET implantą „Graphon”, kuris taip pat naudoja „Graph API” C2 operacijoms Ši situacija išryškina vis didėjančią tendenciją, kad įsilaužėliai naudojasi legaliomis debesijos paslaugomis, siekdami užmaskuoti savo veiklą ir išvengti būtinybės įsigyti specializuotą infrastruktūrą.
Kitos naujos kenkėjiškų programų šeimos, kuriose naudojami panašūs metodai, yra šios:
- Duomenų eksfiltracijos priemonė, naudota vykdant kibernetinę ataką prieš karinę organizaciją Pietryčių Azijoje. Surinkta informacija įkeliama į „Google Drive” naudojant sunkiai užkoduotą atnaujinimo tokeną.
- Naujas backdoor, pavadintas Grager, šių metų balandžio mėn. panaudotas prieš tris organizacijas Taivane, Honkonge ir Vietname. Ji naudoja Graph API, kad prisijungtų prie C2 serverio, esančio „Microsoft OneDrive”. Grager taip pat yra susijęs su Kinijos UNC5330 grupe.
- Backdoor MoonTag, turintis ryšio su Graph API funkciją ir priskiriamas kiniškai kalbantiems įsilaužėliams.
- Backdoor Onedrivetools, kuris buvo naudojamas prieš IT bendroves JAV ir Europoje. Ji palaiko ryšį su „OneDrive” esančiu C2 serveriu, kad galėtų vykdyti komandas ir išsaugoti rezultatus.
Kompanija „Symantec” pažymi, kad debesijos paslaugų naudojimas komandų ir kontrolės serveriams nėra naujas metodas, tačiau pastaruoju metu juo pradėjo naudotis vis daugiau įsilaužėlių. Tokios kenkėjiškos programos kaip BLUELIGHT, Graphite, Graphican ir BirdyClient yra puikūs to pavyzdžiai. Šis sujudimas gali reikšti, kad kibernetinių nusikaltėlių grupuotės dažnai peržiūri viena kitos sėkmingus metodus ir įtraukia juos į savo darbo eigą, kad padidintų efektyvumą.