یک سازمان فعال در حوزه رسانه در جنوب آسیا در نوامبر 20233 توسط بکدور GoGra مورد هدف قرار گرفت. GoGra یک بکدور جدید مبتنی بر Go است که سیمانتک که از آن با عنوان ” Trojan.Gogra ” یاد میکند.
بکدور GoGra از Graph API مایکروسافت برای تعامل با سرور فرماندهی و کنترل (C&C) میزبانی شده در سرویسهای ایمیل مایکروسافت استفاده میکند.
Graph یک API مایکروسافت است که برای تسهیل دسترسی به منابع میزبانی شده در سرویسهای ابری مایکروسافت، مانند Microsoft 365 طراحی شده است. احراز هویت آن نیز با استفاده از توکنهای دسترسی OAuth صورت میپذیرد.
در حال حاضر هنوز مشخص نیست که این بکدور چگونه به محیطهای هدف تحویل داده میشود. با این حال، بکدور GoGra به طور خاص برای خواندن پیامهای یک نام کاربری درOutlook به نام “FNU LNU” که موضوع پیامها با کلمه “Input” آغاز میشود، پیکربندی شده است.
محتویات پیام سپس با استفاده از الگوریتم AES-256 در حالت CBC و با استفاده از یک کلید، رمزگشایی میشود و پس از آن دستورات توسط cmd.exe اجرا میگردد. نتایج عملیات بصورت رمزگذاری شده و با موضوع « Output » برای همان کاربر ارسال خواهند شد.
به نظر میرسد که بکدور GoGra کار یک گروه هک تحت حمایت دولت است و از نظر عملکردی مشابه ابزار Harvester میباشد. Harvester که با نام Graphon نیز شناخته میشود، در دات نت (NET.) نوشته شده و از Graph API برای اهداف C&C خود استفاده میکند.
اگرچه استفاده از سرویسهای ابری به عنوان سرور فرماندهی و کنترل، تکنیک جدیدی نیست اما اخیراً مهاجمان زیادی به استفاده از آن روی آوردهاند. خانوادههای دیگر بدافزارهایی همچون Firefly، Grager، MoonTag و Onedrivetools نیز در حملات خود از این تکنیک استفاده کردهاند.
این شواهد بیانگر آن است که هکرها به طور فزاینده به استفاده از سرویسهای ابری قانونی علاقهمند شدهاند تا از خرید زیرساختهای اختصاصی و شناسایی آنها در امان بمانند.
منابع
مقالات مرتبط:
بکدور BITSLOTH از BITS برای ارتباطات مخفیانه سوء استفاده میکند
گروه APT28 روسیه، دیپلماتها را توسط بکدور HeadLace مورد نفوذ قرار داد
بکدور Xctdoor در حمله به شرکتهای کرهای مورد استفاده قرار گرفت
توزیع بکدور Oyster توسط نرم افزارهای تروجانیزه شده
سوء استفاده هکرها از وب سایتهای قانونی برای توزیع بکدور BadSpace
