More

    Hakeri koriste OneDrive i Google Drive da sakriju maliciozni promet

    Napadači, uključujući hakere iz nacionalne države, sve više koriste legitimne usluge u oblaku za špijunske operacije, iskorištavajući njihovu niskoprofilnu i isplativu prirodu. 

    Usluge, kao što su Microsoft OneDrive i Google Drive, izbjegavaju otkrivanje tako što se maskiraju u pouzdane entitete, omogućavajući na taj način tajnu eksfiltraciju podataka i razvoj alata. 

    Istraživači su otkrili novi backdoor zasnovan na Go, GoGra, koji je raspoređen protiv medijske organizacije u Južnoj Aziji u novembru 2023.

    Koristeći Microsoft Graph API za C2, GoGra čita šifrovane komande e-pošte sa određenog Outlook naloga, dešifruje ih pomoću AES-256 CBC i izvršava ih putem cmd.exe.

    OneDrive ili Google disk za korice

    Pripisan grupi nacije-države Harvester, GoGra dijeli funkcionalne sličnosti sa njihovim .NET-baziranim Graphon alatom, ali se razlikuje po programskom jeziku, ključu za šifrovanje, skupu komandi i C2 konfiguraciji. 

    Špijunska grupa Firefly eksfiltrirala je osjetljive podatke iz vojne organizacije jugoistočne Azije koristeći prilagođeni omot Python-a za javno dostupan klijent Google Drive-a. 

    Ciljanjem .jpg fajlova u System32 direktorijumu i korišćenjem hardkodiranog tokena za osvježavanje, napadači su otpremili šifrovane RAR arhive koje sadrže dokumente, bilješke sa sastanaka, transkripte poziva, planove izgradnje, foldere e-pošte i finansijske podatke na Google Drive nalog. 

    Novi backdoor, Trojan.Grager, korišten je za ciljanje organizacija u Aziji u aprilu 2024., koje su koristile Graph API za povezivanje sa C&C serverom na Microsoft OneDrive-u.

    Napad je koristio ukucani URL prerušen u legitimni 7-Zip instalater (hxxp://7-zip.tw/a/7z2301-x64[.]msi). 

    Ovaj MSI je preuzeo trojanizirani 7-Zip instalater koji je instalirao originalni 7-Zip softver zajedno sa malicioznim DLL-om (epdevmgr.dll), malverom Tonerjam i šifrovanim Grager backdoor-om (data.dat). 

    Mandiant je identifikovao Tonerjam kao maliciozni softver za pokretanje koji postavlja Grager backdoor, koji je povezan sa osumnjičenom špijunskom grupom China-nexus UNC5330, eksfiltrira sistemske informacije, upravlja datotekama i izvršava komande. 

    Posebno krade OneDrive kredencijale, dok je UNC5330 prethodno iskoristio ranjivosti Ivanti Connect Secure VPN- a kako bi ugrozio uređaje, pokazujući njihove prijetnje. 

    Symantec je otkrio nedovoljno razvijen backdoor pod nazivom MoonTag, koristeći kod iz javne Google grupe. 

    Maliciozni softver komunicira preko Graph API-ja i dijeli karakteristike sa 9002 RAT-om, iako je direktno pripisivanje Sabre Pandi neuvjerljivo.

    Snažni pokazatelji ukazuju na hakera koji govori kineski na osnovu jezika koda i infrastrukture. OneDriveTools je novi backdoor koji cilja kompanije za IT usluge.

    Koristi Microsoft Graph API za preuzimanje i pokretanje korisnih podataka sa OneDrive-a, koji kreira jedinstvenu fasciklu žrtve, otprema status infekcije i održava komunikaciju koja prolazi kroz srčane datoteke i izvršavanje naredbi u ovoj fascikli. 

    Napadači koriste Whipweave, alat za tuneliranje baziran na Free Connect, da se povežu na Orbweaver mrežu, koja koristi prednost rastućeg trenda prijetnji koje koriste infrastrukturu za komandu i kontrolu zasnovanu na cloud-u, slično metodama koje koriste druge grupe koje su bile uspješne.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories