Siber Muhbir

Broadcom'un bir parçası olan Symantec, paylaşılan bir raporda, "GoGra, Go'da yazılmıştır ve Microsoft posta hizmetlerinde barındırılan bir komut ve kontrol (C&C) sunucusuyla etkileşim kurmak için Microsoft Graph API'sini kullanır" dedi.

Şu anda hedef ortamlara nasıl teslim edildiği belli değil. Ancak GoGra, konu satırı "Giriş" kelimesiyle başlayan bir Outlook kullanıcı adı "FNU LNU"dan gelen mesajları okumak için özel olarak yapılandırılmıştır.

Mesaj içeriği daha sonra bir anahtar kullanılarak Şifre Blok Zincirleme (CBC) modunda AES-256 algoritması kullanılarak şifresi çözülür ve ardından komutları cmd.exe aracılığıyla yürütür.

İşlemin sonuçları daha sonra şifrelenir ve "Çıktı" konusuyla aynı kullanıcıya gönderilir.

GoGra'nın, C&C amaçları için Graph API'yi de kullanan Graphon adlı özel bir .NET implantına benzerlikleri nedeniyle Harvester olarak bilinen bir ulus devlet hack grubunun eseri olduğu söyleniyor.

Gelişme, tehdit aktörlerinin mütevazı kalmak ve özel altyapı satın almak zorunda kalmamak için meşru bulut hizmetlerinden giderek daha fazla yararlanmasıyla ortaya çıkıyor.

Bu tekniği kullanan diğer yeni kötü amaçlı yazılım ailelerinden bazıları aşağıda listelenmiştir:

• Firefly tarafından Güneydoğu Asya'daki bir askeri organizasyonu hedef alan bir siber saldırıda kullanılan daha önce görülmemiş bir veri hırsızlığı aracı. Toplanan bilgiler, sabit kodlanmış bir yenileme jetonu kullanılarak Google Drive'a yüklenir.

• Nisan 2024'te Tayvan, Hong Kong ve Vietnam'daki üç kuruluşa karşı konuşlandırılan Grager adlı yeni bir arka kapı. Microsoft OneDrive'da barındırılan bir C&C sunucusuyla iletişim kurmak için Graph API'yi kullanır. Faaliyet, UNC5330 olarak izlenen şüpheli bir Çinli tehdit aktörüyle geçici olarak bağlantılı.

• Graph API ile iletişim kurmak için işlevsellik içeren ve Çince konuşan bir tehdit aktörüne atfedilen MoonTag olarak bilinen bir arka kapı

• ABD ve Avrupa'daki BT hizmetleri şirketlerine karşı kullanılan Onedrivetools adlı bir arka kapı. Alınan komutları yürütmek ve çıktıyı OneDrive'a kaydetmek için OneDrive'da barındırılan bir C&C sunucusuyla etkileşim kurmak için Graph API'sini kullanır.

Symantec, "Komuta ve kontrol için bulut hizmetlerinden yararlanmak yeni bir teknik olmasa da, son zamanlarda giderek daha fazla saldırgan kullanmaya başladı" dedi ve BLUELIGHT, Graphite, Graphican ve BirdyClient gibi kötü amaçlı yazılımlara işaret etti.

"Şu anda bulut hizmetlerinden yararlanan tehditleri dağıtan aktörlerin sayısı, casusluk aktörlerinin diğer gruplar tarafından oluşturulan tehditleri açıkça incelediğini ve başarılı teknikler olarak algıladıklarını taklit ettiğini gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.