Napadači, uključujući hakere iz nacionalne države, sve više koriste legitimne usluge u oblaku za špijunske operacije, iskorištavajući njihovu niskoprofilnu i isplativu prirodu.
Usluge, kao što su Microsoft OneDrive i Google Drive, izbjegavaju otkrivanje tako što se maskiraju u pouzdane entitete, omogućavajući na taj način tajnu eksfiltraciju podataka i razvoj alata.
Istraživači su otkrili novi backdoor zasnovan na Go, GoGra, koji je raspoređen protiv medijske organizacije u Južnoj Aziji u novembru 2023.
Koristeći Microsoft Graph API za C2, GoGra čita šifrovane komande e-pošte sa određenog Outlook naloga, dešifruje ih pomoću AES-256 CBC i izvršava ih putem cmd.exe.
OneDrive ili Google disk za korice
Pripisan grupi nacije-države Harvester, GoGra dijeli funkcionalne sličnosti sa njihovim .NET-baziranim Graphon alatom, ali se razlikuje po programskom jeziku, ključu za šifrovanje, skupu komandi i C2 konfiguraciji.
Špijunska grupa Firefly eksfiltrirala je osjetljive podatke iz vojne organizacije jugoistočne Azije koristeći prilagođeni omot Python-a za javno dostupan klijent Google Drive-a.
Ciljanjem .jpg fajlova u System32 direktorijumu i korišćenjem hardkodiranog tokena za osvježavanje, napadači su otpremili šifrovane RAR arhive koje sadrže dokumente, bilješke sa sastanaka, transkripte poziva, planove izgradnje, foldere e-pošte i finansijske podatke na Google Drive nalog.
Novi backdoor, Trojan.Grager, korišten je za ciljanje organizacija u Aziji u aprilu 2024., koje su koristile Graph API za povezivanje sa C&C serverom na Microsoft OneDrive-u.
Napad je koristio ukucani URL prerušen u legitimni 7-Zip instalater (hxxp://7-zip.tw/a/7z2301-x64[.]msi).
Ovaj MSI je preuzeo trojanizirani 7-Zip instalater koji je instalirao originalni 7-Zip softver zajedno sa malicioznim DLL-om (epdevmgr.dll), malverom Tonerjam i šifrovanim Grager backdoor-om (data.dat).
Mandiant je identifikovao Tonerjam kao maliciozni softver za pokretanje koji postavlja Grager backdoor, koji je povezan sa osumnjičenom špijunskom grupom China-nexus UNC5330, eksfiltrira sistemske informacije, upravlja datotekama i izvršava komande.
Posebno krade OneDrive kredencijale, dok je UNC5330 prethodno iskoristio ranjivosti Ivanti Connect Secure VPN- a kako bi ugrozio uređaje, pokazujući njihove prijetnje.
Symantec je otkrio nedovoljno razvijen backdoor pod nazivom MoonTag, koristeći kod iz javne Google grupe.
Maliciozni softver komunicira preko Graph API-ja i dijeli karakteristike sa 9002 RAT-om, iako je direktno pripisivanje Sabre Pandi neuvjerljivo.
Snažni pokazatelji ukazuju na hakera koji govori kineski na osnovu jezika koda i infrastrukture. OneDriveTools je novi backdoor koji cilja kompanije za IT usluge.
Koristi Microsoft Graph API za preuzimanje i pokretanje korisnih podataka sa OneDrive-a, koji kreira jedinstvenu fasciklu žrtve, otprema status infekcije i održava komunikaciju koja prolazi kroz srčane datoteke i izvršavanje naredbi u ovoj fascikli.
Napadači koriste Whipweave, alat za tuneliranje baziran na Free Connect, da se povežu na Orbweaver mrežu, koja koristi prednost rastućeg trenda prijetnji koje koriste infrastrukturu za komandu i kontrolu zasnovanu na cloud-u, slično metodama koje koriste druge grupe koje su bile uspješne.
Izvor: CyberSecurityNews