Porte dérobée GoGra

En novembre 2023, une organisation médiatique sud-asiatique a été ciblée à l'aide d'une porte dérobée basée sur Go récemment découverte et connue sous le nom de GoGra. Ce malware, écrit dans le langage de programmation Go, exploite l'API Microsoft Graph pour communiquer avec un serveur de commande et de contrôle (C&C) hébergé sur les services de messagerie Microsoft. Jusqu'à présent, la méthode de livraison de GoGra aux environnements cibles reste inconnue. Notamment, GoGra est conçu pour lire les messages d'un compte Outlook avec le nom d'utilisateur « FNU LNU », en particulier ceux dont les lignes d'objet commencent par « Input ».

GoGra présente des similitudes avec des logiciels malveillants précédemment découverts

Le contenu du message est décrypté à l'aide de l'algorithme AES-256 en mode Cipher Block Chaining (CBC) à l'aide d'une clé spécifique. Après décryptage, les commandes sont exécutées via cmd.exe. Les résultats sont ensuite cryptés et renvoyés au même utilisateur avec le sujet « Output ». GoGra aurait été développé par un groupe de hackers d'État-nation connu sous le nom de Harvester , en raison de ses similitudes avec un implant .NET personnalisé appelé Graphon , qui utilise également l'API Graph pour les fonctions de commande et de contrôle (C&C).

Les acteurs malveillants exploitent de plus en plus les services cloud légitimes

Les acteurs de la menace exploitent de plus en plus les services cloud légitimes pour rester discrets et éviter les coûts associés à une infrastructure dédiée.

Parmi les exemples marquants de cette tendance, on peut citer :

• Firefly : un nouvel outil d'exfiltration de données utilisé dans une cyberattaque contre une organisation militaire en Asie du Sud-Est. Les données collectées sont téléchargées sur Google Drive à l'aide d'un jeton d'actualisation codé en dur.
• Grager : Une nouvelle porte dérobée a été découverte en avril 2024, ciblant des organisations à Taïwan, Hong Kong et au Vietnam. Elle communique avec un serveur de commande et de contrôle (C&C) hébergé sur Microsoft OneDrive via l'API Graph. Cette activité est provisoirement liée à l'acteur chinois présumé connu sous le nom de UNC5330.
• MoonTag : une porte dérobée avec des fonctionnalités permettant d'interagir avec l'API Graph attribuée à un acteur de menace parlant chinois.
• Onedrivetools : une porte dérobée utilisée contre les sociétés de services informatiques aux États-Unis et en Europe. Elle utilise l'API Graph pour communiquer avec un serveur C&C sur OneDrive, exécuter des commandes et enregistrer les résultats sur la même plateforme.

Bien que l’utilisation de services cloud pour le commandement et le contrôle ne soit pas une technique nouvelle, son adoption parmi les attaquants a augmenté récemment.

Les dangers des infections par porte dérobée

Un logiciel malveillant de porte dérobée présente des dangers importants pour les organisations ou les utilisateurs concernés, notamment :

• Accès non autorisé : les portes dérobées offrent aux attaquants un accès caché aux systèmes, leur permettant de contourner les mécanismes d'authentification normaux. Cet accès non autorisé peut entraîner la compromission de données sensibles et de systèmes critiques.
• Vol de données : les pirates peuvent utiliser des portes dérobées pour exfiltrer des informations confidentielles, notamment des données personnelles, des données de propriété intellectuelle et des dossiers financiers. Ces données collectées peuvent être utilisées pour le vol d'identité, l'espionnage industriel ou être vendues sur le dark web.
• Contrôle et manipulation du système : une fois la porte dérobée installée, les attaquants peuvent prendre le contrôle des systèmes affectés. Ce contrôle leur permet d'exécuter des commandes, d'installer des logiciels malveillants supplémentaires, de modifier les configurations du système ou de manipuler des données.
• Compromission du réseau : les portes dérobées facilitent souvent les mouvements latéraux au sein d'un réseau. Les attaquants peuvent utiliser une compromission initiale pour se déplacer latéralement sur les systèmes connectés, affectant potentiellement des réseaux entiers et augmentant la portée de leur attaque.
• Perturbation des opérations : les programmes malveillants de type backdoor peuvent perturber les opérations commerciales normales en provoquant des pannes système, en supprimant ou en chiffrant des fichiers critiques ou en entraînant des problèmes de performances. Cela peut entraîner des temps d'arrêt opérationnels et des pertes financières.
• Espionnage et surveillance : les portes dérobées peuvent être utilisées à des fins d'espionnage, permettant aux attaquants de surveiller et d'enregistrer les activités, les communications et les interactions des utilisateurs. Cette surveillance peut compromettre la confidentialité et entraîner la fuite d'informations sensibles.
• Atteinte à la réputation : la présence de malwares de type backdoor peut nuire à la réputation d'une organisation, entraînant une perte de confiance des clients. Cela peut avoir des effets à long terme sur les relations commerciales et la position sur le marché.
• Conséquences réglementaires et juridiques : les organisations peuvent être confrontées à des conséquences juridiques et réglementaires si elles ne peuvent pas protéger les données sensibles. Les violations de données impliquant des programmes malveillants de porte dérobée peuvent entraîner des amendes, des actions en justice et des problèmes de conformité.

En résumé, les logiciels malveillants de porte dérobée présentent une menace multiforme qui peut compromettre la sécurité, la confidentialité et l’intégrité opérationnelle. Il est donc essentiel pour les organisations et les utilisateurs d’employer des mesures de sécurité robustes et de rester vigilants face aux intrusions potentielles.