يستهدف Backdoor GoGra الجديد المستند إلى Go منظمة الإعلام في جنوب آسيا

07 أغسطس 2024رافي لاكشمانانالأمن السحابي / التجسس السيبراني

تم استهداف منظمة إعلامية لم يذكر اسمها في جنوب آسيا في نوفمبر 20233 باستخدام باب خلفي غير موثق سابقًا يعتمد على Go يسمى GoGra.

“تم كتابة GoGra بلغة Go ويستخدم واجهة برمجة تطبيقات Microsoft Graph للتفاعل مع خادم الأوامر والتحكم (C&C) المستضاف على خدمات بريد Microsoft،” Symantec، وهي جزء من Broadcom، قال في تقرير تمت مشاركته مع The Hacker News.

ليس من الواضح حاليًا كيفية تسليمه إلى البيئات المستهدفة، حيث تم تكوين GoGra خصيصًا لقراءة الرسائل من اسم مستخدم Outlook “FNU LNU” الذي يبدأ سطر موضوعه بالكلمة “Input”.

يتم بعد ذلك فك تشفير محتويات الرسالة باستخدام خوارزمية AES-256 في وضع Cipher Block Chaining (CBC) باستخدام مفتاح، وبعد ذلك يتم تنفيذ الأوامر عبر cmd.exe.

يتم بعد ذلك تشفير نتائج العملية وإرسالها إلى نفس المستخدم بالموضوع “الإخراج”.

يُقال إن GoGra هو عمل مجموعة قرصنة تابعة للدولة تُعرف باسم Harvester نظرًا لتشابهها مع برنامج .NET المخصص المسمى Graphon والذي يستخدم أيضًا Graph API لأغراض التحكم والسيطرة.

ويأتي هذا التطور في الوقت الذي تستفيد فيه الجهات الفاعلة في مجال التهديد بشكل متزايد من الخدمات السحابية المشروعة للبقاء على مستوى منخفض وتجنب الاضطرار إلى شراء بنية تحتية مخصصة.

بعض عائلات البرامج الضارة الجديدة الأخرى التي استخدمت هذه التقنية مدرجة أدناه –

• أداة لاستخلاص البيانات لم يسبق لها مثيل نشرتها شركة Firefly في هجوم إلكتروني استهدف منظمة عسكرية في جنوب شرق آسيا. يتم تحميل المعلومات التي تم جمعها إلى Google Drive باستخدام رمز التحديث المشفر.

• تم نشر باب خلفي جديد يُطلق عليه اسم Grager ضد ثلاث مؤسسات في تايوان وهونج كونج وفيتنام في أبريل 2024. ويستخدم واجهة Graph API للتواصل مع خادم القيادة والسيطرة المستضاف على Microsoft OneDrive. تم ربط هذا النشاط مبدئيًا بممثل تهديد صيني مشتبه به تم تتبعه باسم UNC5330.

• يحتوي الباب الخلفي المعروف باسم MoonTag على وظيفة للتواصل مع Graph API وينسب إلى جهة تهديد ناطقة باللغة الصينية.

• تم استخدام باب خلفي يسمى Onedrivetools ضد شركات خدمات تكنولوجيا المعلومات في الولايات المتحدة وأوروبا. يستخدم Graph API للتفاعل مع خادم القيادة والسيطرة المستضاف على OneDrive لتنفيذ الأوامر المستلمة وحفظ الإخراج في OneDrive.

وقالت سيمانتيك: “على الرغم من أن الاستفادة من الخدمات السحابية للقيادة والتحكم ليست تقنية جديدة، إلا أن المزيد والمزيد من المهاجمين بدأوا في استخدامها مؤخرًا”، مشيرة إلى البرامج الضارة مثل BLUELIGHT وGraphite وGraphican وBirdyClient.

“يشير عدد الجهات الفاعلة التي تنشر الآن التهديدات التي تستفيد من الخدمات السحابية إلى أن الجهات الفاعلة في مجال التجسس تدرس بوضوح التهديدات التي أنشأتها مجموعات أخرى وتقليد ما تعتبره تقنيات ناجحة.”