GoGra-Hintertür

Von Mezo in Malware, Backdoors

Übersetzen Sie in:

Im November 2023 wurde eine südasiatische Medienorganisation mithilfe einer neu entdeckten Go-basierten Hintertür namens GoGra angegriffen. Diese in der Programmiersprache Go geschriebene Malware nutzt die Microsoft Graph API, um mit einem Command-and-Control-Server (C&C) zu kommunizieren, der auf Microsoft-Mail-Diensten gehostet wird. Bisher ist die Übermittlungsmethode von GoGra an die Zielumgebungen unbekannt. Insbesondere ist GoGra darauf ausgelegt, Nachrichten von einem Outlook-Konto mit dem Benutzernamen „FNU LNU“ zu lesen, insbesondere solche, deren Betreffzeilen mit „Input“ beginnen.

Inhaltsverzeichnis

GoGra weist Ähnlichkeiten mit zuvor entdeckter Malware auf

Der Nachrichteninhalt wird mit dem AES-256-Algorithmus im Cipher Block Chaining (CBC)-Modus unter Verwendung eines speziellen Schlüssels entschlüsselt. Nach der Entschlüsselung werden die Befehle über cmd.exe ausgeführt. Die Ergebnisse werden dann verschlüsselt und mit dem Betreff „Output“ an denselben Benutzer zurückgesendet. GoGra wurde vermutlich von einer staatlichen Hackergruppe namens Harvester entwickelt, aufgrund seiner Ähnlichkeiten mit einem benutzerdefinierten .NET-Implantat namens Graphon , das ebenfalls die Graph-API für Command-and-Control-Funktionen (C&C) verwendet.

Bedrohungsakteure nutzen zunehmend legitime Cloud-Dienste aus

Bedrohungsakteure nutzen zunehmend legitime Cloud-Dienste, um diskret zu bleiben und die mit einer dedizierten Infrastruktur verbundenen Kosten zu vermeiden.

Prominente Beispiele für diesen Trend sind:

Firefly : Ein neues Tool zur Datenexfiltration, das bei einem Cyberangriff auf eine Militärorganisation in Südostasien eingesetzt wurde. Die gesammelten Daten werden mithilfe eines fest codierten Aktualisierungstokens auf Google Drive hochgeladen.
Grager : Im April 2024 wurde eine neue Hintertür entdeckt, die auf Organisationen in Taiwan, Hongkong und Vietnam abzielt. Sie kommuniziert über die Graph-API mit einem Command-and-Control-Server (C&C), der auf Microsoft OneDrive gehostet wird. Diese Aktivität wird vorläufig mit dem mutmaßlichen chinesischen Bedrohungsakteur UNC5330 in Verbindung gebracht.
MoonTag : Eine Hintertür mit Funktion zur Interaktion mit der Graph-API, die einem chinesisch sprechenden Bedrohungsakteur zugeschrieben wird.
Onedrivetools : Eine Hintertür, die gegen IT-Dienstleistungsunternehmen in den USA und Europa eingesetzt wird. Sie verwendet die Graph-API, um mit einem C&C-Server auf OneDrive zu kommunizieren, Befehle auszuführen und die Ausgabe auf derselben Plattform zu speichern.

Die Verwendung von Cloud-Diensten für die Befehls- und Kontrollfunktion ist zwar keine neue Technik, wird jedoch in letzter Zeit immer häufiger von Angreifern eingesetzt.

Die Gefahren von Backdoor-Infektionen

Backdoor-Malware stellt für betroffene Organisationen oder Benutzer erhebliche Gefahren dar, darunter:

Unbefugter Zugriff : Hintertüren bieten Angreifern versteckten Zugriff auf Systeme und ermöglichen ihnen, normale Authentifizierungsmechanismen zu umgehen. Dieser unbefugte Zugriff kann zur Gefährdung vertraulicher Daten und kritischer Systeme führen.
Datendiebstahl : Angreifer können Hintertüren nutzen, um vertrauliche Informationen wie persönliche Daten, geistiges Eigentum und Finanzunterlagen abzugreifen. Die so gesammelten Daten können für Identitätsdiebstahl oder Wirtschaftsspionage verwendet oder im Darknet verkauft werden.
Systemkontrolle und -manipulation : Sobald eine Hintertür installiert ist, können Angreifer Kontrolle über betroffene Systeme erlangen. Diese Kontrolle ermöglicht es ihnen, Befehle auszuführen, zusätzliche Malware zu installieren, Systemkonfigurationen zu ändern oder Daten zu manipulieren.
Netzwerkkompromittierung : Hintertüren erleichtern häufig die laterale Bewegung innerhalb eines Netzwerks. Angreifer können eine anfängliche Kompromittierung nutzen, um sich lateral über verbundene Systeme hinweg zu bewegen, was möglicherweise ganze Netzwerke beeinträchtigt und den Umfang ihres Angriffs vergrößert.
Betriebsunterbrechung : Backdoor-Malware kann den normalen Geschäftsbetrieb stören, indem sie Systemausfälle verursacht, wichtige Dateien löscht oder verschlüsselt oder Leistungsprobleme verursacht. Dies kann zu Betriebsausfällen und finanziellen Verlusten führen.
Spionage und Überwachung : Hintertüren können für Spionagezwecke verwendet werden, sodass Angreifer Benutzeraktivitäten, Kommunikationen und Interaktionen überwachen und aufzeichnen können. Diese Überwachung kann die Privatsphäre gefährden und zum Abfluss vertraulicher Informationen führen.
Reputationsschaden : Das Vorhandensein von Backdoor-Malware kann den guten Ruf eines Unternehmens schädigen und zu einem Verlust des Kundenvertrauens führen. Dies kann langfristige Auswirkungen auf Geschäftsbeziehungen und die Marktposition haben.
Regulatorische und rechtliche Konsequenzen : Organisationen müssen mit rechtlichen und regulatorischen Konsequenzen rechnen, wenn sie sensible Daten nicht schützen können. Datenschutzverletzungen durch Backdoor-Malware können zu Geldstrafen, Klagen und Compliance-Problemen führen.

Zusammenfassend lässt sich sagen, dass Backdoor-Malware eine vielschichtige Bedrohung darstellt, die die Sicherheit, den Datenschutz und die Betriebsintegrität beeinträchtigen kann. Daher ist es für Unternehmen und Benutzer unerlässlich, robuste Sicherheitsmaßnahmen zu ergreifen und gegenüber potenziellen Eindringlingen wachsam zu bleiben.

SpyHunter für Windows von EnigmaSoft erhält AV-TEST-Zertifizierung

Suche

Region ändern

GoGra-Hintertür

GoGra weist Ähnlichkeiten mit zuvor entdeckter Malware auf

Bedrohungsakteure nutzen zunehmend legitime Cloud-Dienste aus

Die Gefahren von Backdoor-Infektionen

Kommentar abgeben

Im Trend

Valorant-Fehlercode VAN -81

Ksearchy

LYRA-Early-Adopter-Betrug

Am häufigsten gesehen

Discord zeigt beim Teilen des Bildschirms schwarzen...

Was ist Msedge.exe?

So beheben Sie den Fehler 'Druckertreiber ist nicht...