07 de agosto de 2024Ravie LakshmananSeguridad en la nube / Ciberespionaje En noviembre de 2023, una organización de medios anónima del sur de Asia fue atacada mediante una puerta trasera basada en Go no documentada anteriormente llamada GoGra. «GoGra está escrito en Go y utiliza la API Graph de Microsoft para interactuar con un servidor de comando y control (C&C) alojado en los servicios de correo de Microsoft», dijo Symantec, parte de Broadcom, en un informe compartido con The Hacker News. Actualmente no está claro cómo se entrega a los entornos de destino, GoGra está configurado específicamente para leer mensajes de un nombre de usuario de Outlook «FNU LNU» cuya línea de asunto comienza con la palabra «Entrada». Luego, el contenido del mensaje se descifra utilizando el algoritmo AES-256 en modo Cipher Block Chaining (CBC) utilizando una clave, después de lo cual ejecuta los comandos a través de cmd.exe. Luego, los resultados de la operación se cifran y se envían al mismo usuario con el asunto «Salida». Se dice que GoGra es obra de un grupo de piratas informáticos de un estado-nación conocido como Harvester debido a sus similitudes con un implante .NET personalizado llamado Graphon que también utiliza la API Graph para fines de C&C. El desarrollo se produce en un momento en que los actores de amenazas aprovechan cada vez más los servicios legítimos en la nube para mantener un perfil bajo y evitar tener que comprar una infraestructura dedicada. Algunas de las otras nuevas familias de malware que han empleado la técnica se enumeran a continuación: Una herramienta de exfiltración de datos nunca antes vista implementada por Firefly en un ciberataque dirigido a una organización militar en el sudeste asiático. La información recopilada se carga en Google Drive utilizando un token de actualización codificado. Una nueva puerta trasera denominada Grager se implementó contra tres organizaciones en Taiwán, Hong Kong y Vietnam en abril de 2024. Utiliza la API Graph para comunicarse con un servidor C&C alojado en Microsoft OneDrive. La actividad se ha vinculado tentativamente a un presunto actor de amenazas chino rastreado como UNC5330. Una puerta trasera conocida como MoonTag contiene funcionalidad para comunicarse con la API Graph y se atribuye a un actor de amenazas de habla china. Una puerta trasera llamada Onedrivetools se ha utilizado contra empresas de servicios de TI en los EE. UU. y Europa. Utiliza la API Graph para interactuar con un servidor C&C alojado en OneDrive para ejecutar los comandos recibidos y guardar la salida en OneDrive. «Aunque aprovechar los servicios en la nube para el comando y control no es una técnica nueva, cada vez más atacantes han comenzado a utilizarla recientemente», dijo Symantec, señalando malware como BLUELIGHT, Graphite, Graphican y BirdyClient. «La cantidad de actores que ahora implementan amenazas que aprovechan los servicios en la nube sugiere que los actores de espionaje claramente están estudiando amenazas creadas por otros grupos e imitando lo que perciben como técnicas exitosas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.