Güney Asya’da ismi açıklanmayan bir medya kuruluşu Kasım 2023’te GoGra adı verilen daha önce belgelenmemiş bir Go tabanlı arka kapı kullanılarak hedef alındı.
Broadcom’un bir parçası olan Symantec, “GoGra, Go ile yazılmıştır ve Microsoft posta hizmetlerinde barındırılan bir komut ve kontrol (C&C) sunucusuyla etkileşim kurmak için Microsoft Graph API’sini kullanır” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Şu anda hedef ortamlara nasıl iletildiği net değil. Ancak GoGra, konu satırı “Input” kelimesiyle başlayan bir Outlook kullanıcı adı olan “FNU LNU”dan gelen mesajları okumak üzere özel olarak yapılandırılmıştır.
Mesaj içerikleri daha sonra bir anahtar kullanılarak Şifreli Blok Zincirleme (CBC) modunda AES-256 algoritması kullanılarak şifresi çözülür ve ardından cmd.exe aracılığıyla komutlar yürütülür.
İşlemin sonuçları daha sonra şifrelenerek aynı kullanıcıya “Çıktı” konusuyla gönderilir.
GoGra’nın, C&C amaçları için Graph API’yi kullanan Graphon adlı özel bir .NET yazılımına benzemesi nedeniyle Harvester olarak bilinen bir ulus-devlet hacker grubunun işi olduğu söyleniyor.
Gelişme, tehdit aktörlerinin düşük profilli kalmak ve özel altyapı satın almaktan kaçınmak için meşru bulut hizmetlerinden giderek daha fazla yararlanmaya başlamasıyla birlikte ortaya çıktı.
Bu tekniği kullanan diğer yeni kötü amaçlı yazılım ailelerinden bazıları aşağıda listelenmiştir –
- Firefly tarafından Güneydoğu Asya’daki bir askeri organizasyonu hedef alan bir siber saldırıda konuşlandırılan daha önce görülmemiş bir veri sızdırma aracı. Toplanan bilgiler, sabit kodlanmış bir yenileme belirteci kullanılarak Google Drive’a yüklenir.
- Nisan 2024’te Tayvan, Hong Kong ve Vietnam’daki üç kuruluşa karşı konuşlandırılan Grager adlı yeni bir arka kapı. Microsoft OneDrive’da barındırılan bir C&C sunucusuyla iletişim kurmak için Graph API’yi kullanır. Etkinlik, UNC5330 olarak izlenen şüpheli bir Çinli tehdit aktörüyle geçici olarak ilişkilendirilmiştir.
- Çince konuşan bir tehdit aktörüne atfedilen ve Graph API ile iletişim kurma işlevini içeren MoonTag olarak bilinen bir arka kapı
- ABD ve Avrupa’daki BT hizmetleri şirketlerine karşı kullanılan Onedrivetools adlı bir arka kapı. Alınan komutları yürütmek ve çıktıyı OneDrive’a kaydetmek için OneDrive’da barındırılan bir C&C sunucusuyla etkileşim kurmak için Graph API’yi kullanır.
Symantec, BLUELIGHT, Graphite, Graphican ve BirdyClient gibi kötü amaçlı yazılımlara işaret ederek, “Bulut hizmetlerinden komuta ve kontrol amacıyla yararlanmak yeni bir teknik olmasa da, son zamanlarda giderek daha fazla saldırgan bunu kullanmaya başladı” dedi.
“Bulut hizmetlerinden yararlanan tehditleri devreye sokan aktörlerin sayısı, casusluk aktörlerinin açıkça diğer gruplar tarafından yaratılan tehditleri incelediğini ve başarılı olduğunu düşündükleri teknikleri taklit ettiğini gösteriyor.”
