Une organisation médiatique anonyme d’Asie du Sud a été ciblée en novembre 20233 à l’aide d’une porte dérobée basée sur Go, jusqu’alors non documentée, appelée GoGra.
« GoGra est écrit en Go et utilise l’API Microsoft Graph pour interagir avec un serveur de commande et de contrôle (C&C) hébergé sur les services de messagerie Microsoft », a déclaré Symantec, qui fait partie de Broadcom, dit dans un rapport partagé avec The Hacker News.
On ne sait pas encore comment il est livré aux environnements cibles. GoGra est spécifiquement configuré pour lire les messages provenant d’un nom d’utilisateur Outlook « FNU LNU » dont la ligne d’objet commence par le mot « Input ».
Le contenu du message est ensuite décrypté à l’aide de l’algorithme AES-256 en mode Cipher Block Chaining (CBC) à l’aide d’une clé, après quoi il exécute les commandes via cmd.exe.
Les résultats de l’opération sont ensuite cryptés et envoyés au même utilisateur avec le sujet « Sortie ».
On dit que GoGra est l’œuvre d’un groupe de piratage informatique d’un État-nation connu sous le nom de Harvester en raison de ses similitudes avec un implant .NET personnalisé nommé Graphon qui utilise également l’API Graph à des fins de C&C.
Cette évolution intervient alors que les acteurs malveillants profitent de plus en plus des services cloud légitimes pour rester discrets et éviter de devoir acheter une infrastructure dédiée.
Certaines des autres nouvelles familles de logiciels malveillants qui ont utilisé cette technique sont répertoriées ci-dessous :
- Un outil d’exfiltration de données inédit déployé par Firefly lors d’une cyberattaque visant une organisation militaire en Asie du Sud-Est. Les informations collectées sont téléchargées sur Google Drive à l’aide d’un jeton d’actualisation codé en dur.
- Une nouvelle porte dérobée baptisée Grager a été déployée contre trois organisations à Taïwan, Hong Kong et au Vietnam en avril 2024. Elle utilise l’API Graph pour communiquer avec un serveur C&C hébergé sur Microsoft OneDrive. L’activité a été provisoirement liée à un acteur de menace chinois présumé identifié sous le numéro UNC5330.
- Une porte dérobée connue sous le nom de MoonTag contient des fonctionnalités permettant de communiquer avec l’API Graph et est attribuée à un acteur de menace parlant chinois
- Une porte dérobée appelée Onedrivetools a été utilisée contre des sociétés de services informatiques aux États-Unis et en Europe. Elle utilise l’API Graph pour interagir avec un serveur C&C hébergé sur OneDrive afin d’exécuter les commandes reçues et d’enregistrer le résultat sur OneDrive.
« Bien que l’exploitation des services cloud pour le commandement et le contrôle ne soit pas une technique nouvelle, de plus en plus d’attaquants ont commencé à l’utiliser récemment », a déclaré Symantec, pointant du doigt des malwares comme BLUELIGHT, Graphite, Graphican et BirdyClient.
« Le nombre d’acteurs déployant désormais des menaces qui exploitent les services cloud suggère que les acteurs de l’espionnage étudient clairement les menaces créées par d’autres groupes et imitent ce qu’ils perçoivent comme des techniques efficaces. »