Site icon Kiber.ba

Hakeri koriste OneDrive i Google Drive da sakriju maliciozni promet

Hakeri koriste OneDrive i Google Drive da sakriju zlonamjerni promet-Kiber.ba

Hakeri koriste OneDrive i Google Drive da sakriju zlonamjerni promet-Kiber.ba

Napadači, uključujući hakere iz nacionalne države, sve više koriste legitimne usluge u oblaku za špijunske operacije, iskorištavajući njihovu niskoprofilnu i isplativu prirodu. 

Usluge, kao što su Microsoft OneDrive i Google Drive, izbjegavaju otkrivanje tako što se maskiraju u pouzdane entitete, omogućavajući na taj način tajnu eksfiltraciju podataka i razvoj alata. 

Istraživači su otkrili novi backdoor zasnovan na Go, GoGra, koji je raspoređen protiv medijske organizacije u Južnoj Aziji u novembru 2023.

Koristeći Microsoft Graph API za C2, GoGra čita šifrovane komande e-pošte sa određenog Outlook naloga, dešifruje ih pomoću AES-256 CBC i izvršava ih putem cmd.exe.

OneDrive ili Google disk za korice

Pripisan grupi nacije-države Harvester, GoGra dijeli funkcionalne sličnosti sa njihovim .NET-baziranim Graphon alatom, ali se razlikuje po programskom jeziku, ključu za šifrovanje, skupu komandi i C2 konfiguraciji. 

Špijunska grupa Firefly eksfiltrirala je osjetljive podatke iz vojne organizacije jugoistočne Azije koristeći prilagođeni omot Python-a za javno dostupan klijent Google Drive-a. 

Ciljanjem .jpg fajlova u System32 direktorijumu i korišćenjem hardkodiranog tokena za osvježavanje, napadači su otpremili šifrovane RAR arhive koje sadrže dokumente, bilješke sa sastanaka, transkripte poziva, planove izgradnje, foldere e-pošte i finansijske podatke na Google Drive nalog. 

Novi backdoor, Trojan.Grager, korišten je za ciljanje organizacija u Aziji u aprilu 2024., koje su koristile Graph API za povezivanje sa C&C serverom na Microsoft OneDrive-u.

Napad je koristio ukucani URL prerušen u legitimni 7-Zip instalater (hxxp://7-zip.tw/a/7z2301-x64[.]msi). 

Ovaj MSI je preuzeo trojanizirani 7-Zip instalater koji je instalirao originalni 7-Zip softver zajedno sa malicioznim DLL-om (epdevmgr.dll), malverom Tonerjam i šifrovanim Grager backdoor-om (data.dat). 

Mandiant je identifikovao Tonerjam kao maliciozni softver za pokretanje koji postavlja Grager backdoor, koji je povezan sa osumnjičenom špijunskom grupom China-nexus UNC5330, eksfiltrira sistemske informacije, upravlja datotekama i izvršava komande. 

Posebno krade OneDrive kredencijale, dok je UNC5330 prethodno iskoristio ranjivosti Ivanti Connect Secure VPN- a kako bi ugrozio uređaje, pokazujući njihove prijetnje. 

Symantec je otkrio nedovoljno razvijen backdoor pod nazivom MoonTag, koristeći kod iz javne Google grupe. 

Maliciozni softver komunicira preko Graph API-ja i dijeli karakteristike sa 9002 RAT-om, iako je direktno pripisivanje Sabre Pandi neuvjerljivo.

Snažni pokazatelji ukazuju na hakera koji govori kineski na osnovu jezika koda i infrastrukture. OneDriveTools je novi backdoor koji cilja kompanije za IT usluge.

Koristi Microsoft Graph API za preuzimanje i pokretanje korisnih podataka sa OneDrive-a, koji kreira jedinstvenu fasciklu žrtve, otprema status infekcije i održava komunikaciju koja prolazi kroz srčane datoteke i izvršavanje naredbi u ovoj fascikli. 

Napadači koriste Whipweave, alat za tuneliranje baziran na Free Connect, da se povežu na Orbweaver mrežu, koja koristi prednost rastućeg trenda prijetnji koje koriste infrastrukturu za komandu i kontrolu zasnovanu na cloud-u, slično metodama koje koriste druge grupe koje su bile uspješne.

Izvor: CyberSecurityNews

Exit mobile version