Sommario
Recentemente, sono emerse nuove minacce informatiche che sfruttano servizi cloud legittimi per condurre attività di spionaggio e attacchi cibernetici. Tra queste, la backdoor GoGra e vari attacchi di spionaggio sul cloud rappresentano esempi significativi di come gli attori delle minacce stiano evolvendo le loro tecniche per rimanere nascosti e ridurre i costi operativi.
Nuova Backdoor Go-Based GoGra
Un’organizzazione mediatica nel Sud Asia è stata bersaglio di un attacco cibernetico a novembre 2023, utilizzando un nuovo backdoor basato su Go chiamato GoGra. Scritto in Go, GoGra utilizza l’API Microsoft Graph per interagire con un server di comando e controllo (C&C) ospitato sui servizi di posta Microsoft. Il backdoor è configurato per leggere messaggi da un nome utente Outlook “FNU LNU” con l’oggetto che inizia con la parola “Input”. I contenuti dei messaggi vengono decrittati usando l’algoritmo AES-256 in modalità Cipher Block Chaining (CBC) e quindi eseguiti tramite cmd.exe. I risultati delle operazioni vengono quindi crittografati e inviati allo stesso utente con l’oggetto “Output”.
GoGra è stato attribuito al gruppo di hacker sostenuto dallo stato nazionale noto come Harvester, noto per l’uso di strumenti personalizzati come Graphon che sfruttano l’API Graph per scopi di C&C. Questo sviluppo sottolinea come i gruppi di spionaggio stiano sempre più utilizzando servizi cloud legittimi per evitare di dover acquistare infrastrutture dedicate.
Attacchi di spionaggio sul Cloud
Gli attacchi di spionaggio che sfruttano i servizi cloud stanno diventando sempre più comuni, con vari nuovi strumenti di malware che utilizzano queste tecniche:
- Firefly ha impiegato uno strumento di esfiltrazione dei dati inedito in un attacco contro un’organizzazione militare nel Sud-Est Asiatico, caricando informazioni su Google Drive utilizzando un token di refresh codificato.
- Grager, un nuovo backdoor, è stato utilizzato contro tre organizzazioni a Taiwan, Hong Kong e Vietnam nell’aprile 2024, comunicando con un server C&C ospitato su Microsoft OneDrive.
- MoonTag, un backdoor attualmente in sviluppo, contiene funzionalità per comunicare con l’API Graph ed è attribuito a un attore delle minacce di lingua cinese.
- Onedrivetools è stato utilizzato contro aziende di servizi IT negli Stati Uniti e in Europa, sfruttando l’API Graph per interagire con un server C&C su OneDrive.
Tendenze in rapida evoluzione
L’uso di servizi cloud per il comando e il controllo non è una tecnica nuova, ma sempre più attori delle minacce la stanno adottando. Symantec ha scoperto malware come BirdyClient, che utilizza l’API Graph per comunicare con un server C&C su OneDrive, utilizzato in un attacco contro un’organizzazione in Ucraina. Altri esempi includono BLUELIGHT, Graphite, e Graphican, che sfruttano tecniche simili per nascondere le loro attività.
Protezione e mitigazione
Per contrastare queste minacce, si raccomanda di:
- Bloccare i servizi cloud non utilizzati dall’organizzazione
- Monitorare il traffico di rete per anomalie
- Utilizzare liste bianche delle applicazioni dove applicabile
- Identificare e monitorare i beni critici dell’organizzazione per l’esfiltrazione di dati
- Attivare i log di audit basati su host e cloud
Le recenti scoperte di backdoor come GoGra e altre minacce simili evidenziano la necessità di una vigilanza continua e di miglioramenti nelle strategie di sicurezza per proteggere le organizzazioni da attacchi sempre più sofisticati che sfruttano servizi cloud legittimi.
