Nieuwe Go-gebaseerde backdoor GoGra richt zich op Zuid-Aziatische mediaorganisatie

In november 2023 werd een anonieme mediaorganisatie in Zuid-Azië aangevallen met behulp van een tot dan toe niet gedocumenteerde Go-backdoor genaamd GoGra.

“GoGra is geschreven in Go en maakt gebruik van de Microsoft Graph API om te communiceren met een command-and-control (C&C)-server die wordt gehost op Microsoft-e-mailservices”, aldus Symantec, onderdeel van Broadcom, in een rapport dat is gedeeld met The Hacker News.

Het is momenteel niet duidelijk hoe het wordt afgeleverd bij de doelomgevingen. GoGra is specifiek geconfigureerd om berichten te lezen van een Outlook-gebruikersnaam ‘FNU LNU’ waarvan de onderwerpregel begint met het woord ‘Input’.

De inhoud van het bericht wordt vervolgens gedecodeerd met behulp van het AES-256-algoritme in de Cipher Block Chaining (CBC)-modus met behulp van een sleutel, waarna de opdrachten via cmd.exe worden uitgevoerd.

De resultaten van de bewerking worden vervolgens gecodeerd en naar dezelfde gebruiker verzonden met het onderwerp ‘Output’.

GoGra zou het werk zijn van een hackersgroep van een natiestaat die bekendstaat als Harvester. De reden hiervoor is dat het lijkt op een speciaal .NET-implantaat genaamd Graphon, dat ook de Graph API gebruikt voor C&C-doeleinden.

Deze ontwikkeling vindt plaats omdat kwaadwillenden steeds vaker gebruikmaken van legitieme clouddiensten om onopvallend te blijven en geen speciale infrastructuur hoeven aan te schaffen.

Hieronder staan ​​enkele andere nieuwe malwarefamilies die deze techniek hebben toegepast:

  • Een nog niet eerder vertoonde data-exfiltratietool die door Firefly is ingezet bij een cyberaanval gericht op een militaire organisatie in Zuidoost-Azië. De verzamelde informatie wordt geüpload naar Google Drive met behulp van een hard-coded refresh-token.
  • Een nieuwe backdoor genaamd Grager werd in april 2024 ingezet tegen drie organisaties in Taiwan, Hong Kong en Vietnam. Het gebruikt de Graph API om te communiceren met een C&C-server die gehost wordt op Microsoft OneDrive. De activiteit is voorlopig gekoppeld aan een vermoedelijke Chinese dreigingsactor die gevolgd wordt als UNC5330.
  • Een backdoor genaamd MoonTag bevat functionaliteit voor communicatie met de Graph API en wordt toegeschreven aan een Chinees sprekende dreigingsactor
  • Een backdoor genaamd Onedrivetools is gebruikt tegen IT-servicebedrijven in de VS en Europa. Het gebruikt de Graph API om te communiceren met een C&C-server die gehost wordt op OneDrive om ontvangen opdrachten uit te voeren en de output op te slaan op OneDrive.

“Hoewel het benutten van clouddiensten voor commando en controle geen nieuwe techniek is, zijn er de laatste tijd steeds meer aanvallers die dit gaan gebruiken”, aldus Symantec, wijzend op malware zoals BLUELIGHT, Graphite, Graphican en BirdyClient.

“Het aantal actoren dat nu bedreigingen inzet die gebruikmaken van clouddiensten, suggereert dat spionageactoren duidelijk bedreigingen van andere groepen bestuderen en technieken nabootsen die zij als succesvol beschouwen.”

Thijs Van der Does