En noviembre de 2023, una organización de medios de comunicación anónima del sur de Asia fue atacada mediante un backdoor basado en Go previamente no documentado llamado GoGra.
«GoGra está escrito en Go y utiliza la API de Microsoft Graph para interactuar con un servidor de comando y control (C&C) alojado en los servicios de correo de Microsoft», dijo Symantec, parte de Broadcom. dicho en un informe compartido con The Hacker News.
Actualmente no está claro cómo se entrega a los entornos de destino. Sin embargo, GoGra está configurado específicamente para leer mensajes de un nombre de usuario de Outlook «FNU LNU» cuya línea de asunto comience con la palabra «Entrada».
Luego, el contenido del mensaje se descifra utilizando el algoritmo AES-256 en modo Cipher Block Chaining (CBC) usando una clave, tras lo cual se ejecutan los comandos a través de cmd.exe.
Los resultados de la operación se cifran y se envían al mismo usuario con el asunto «Salida».
Se dice que GoGra es obra de un grupo de piratas informáticos de un estado nacional conocido como Harvester debido a sus similitudes con un implante .NET personalizado llamado Graphon que también utiliza la API Graph para fines de C&C.
Este avance surge a medida que los actores de amenazas aprovechan cada vez más los servicios de nube legítimos para mantener un perfil bajo y evitar tener que comprar infraestructura dedicada.
A continuación se enumeran algunas de las otras nuevas familias de malware que han empleado la técnica:
- Una herramienta de exfiltración de datos nunca antes vista que Firefly implementó en un ciberataque dirigido contra una organización militar en el sudeste asiático. La información recopilada se carga en Google Drive mediante un token de actualización codificado.
- Una nueva puerta trasera denominada Grager se implementó contra tres organizaciones en Taiwán, Hong Kong y Vietnam en abril de 2024. Utiliza la API Graph para comunicarse con un servidor C&C alojado en Microsoft OneDrive. La actividad se ha vinculado tentativamente a un supuesto actor de amenazas chino identificado como UNC5330.
- Una puerta trasera conocida como MoonTag que contiene funcionalidad para comunicarse con Graph API y se atribuye a un actor de amenazas de habla china
- Una puerta trasera llamada Onedrivetools que se ha utilizado contra empresas de servicios informáticos en Estados Unidos y Europa. Utiliza la API Graph para interactuar con un servidor C&C alojado en OneDrive para ejecutar los comandos recibidos y guardar el resultado en OneDrive.
«Aunque aprovechar los servicios en la nube para comando y control no es una técnica nueva, cada vez más atacantes han comenzado a utilizarla recientemente», dijo Symantec, señalando malware como BLUELIGHT, Graphite, Graphican y BirdyClient.
«La cantidad de actores que ahora implementan amenazas que aprovechan los servicios en la nube sugiere que los actores de espionaje claramente están estudiando amenazas creadas por otros grupos e imitando lo que perciben como técnicas exitosas».