Ulus-devlet aktörleri de dahil olmak üzere saldırganlar, casusluk operasyonları için giderek daha fazla meşru bulut hizmetlerinden yararlanıyor ve bunların düşük profilli ve uygun maliyetli doğasından faydalanıyor.
Microsoft OneDrive ve Google Drive gibi hizmetler, güvenilir kuruluşlarmış gibi görünerek tespit edilmekten kaçınıyor ve böylece gizli veri sızdırma ve araç geliştirme olanağı sağlıyor.
Araştırmacılar, Kasım 2023’te Güney Asya’daki bir medya kuruluşuna karşı konuşlandırılan GoGra adlı yeni bir Go tabanlı arka kapı keşfettiler.
GoGra, C2 için Microsoft Graph API’sini kullanarak belirli bir Outlook hesabından şifrelenmiş e-posta komutlarını okur, bunları AES-256 CBC kullanarak şifresini çözer ve cmd.exe aracılığıyla yürütür.
Kapak İçin OneDrive veya Google Drive
Ulus-devlet grubu Harvester’a atfedilen GoGra, .NET tabanlı Graphon aracıyla işlevsel benzerlikler taşıyor ancak programlama dili, şifreleme anahtarı, komut seti ve C2 yapılandırması açısından farklılık gösteriyor.
Firefly casusluk grubu, kamuya açık bir Google Drive istemcisi için özel bir Python sarmalayıcısı kullanarak Güneydoğu Asya’daki bir askeri örgütten hassas verileri sızdırdı.
Saldırganlar, System32 dizinindeki .jpg dosyalarını hedef alarak ve sabit kodlu bir yenileme belirteci kullanarak, belgeler, toplantı notları, görüşme dökümleri, bina planları, e-posta klasörleri ve finansal veriler içeren şifrelenmiş RAR arşivlerini bir Google Drive hesabına yüklediler.
Nisan 2024’te Asya’daki kuruluşları hedef almak için yeni bir arka kapı olan Trojan.Grager kullanıldı ve bu saldırı, Microsoft OneDrive’daki bir C&C sunucusuna bağlanmak için Graph API’yi kullandı.
Saldırıda, meşru bir 7-Zip yükleyicisi gibi gizlenmiş, yazım yanlışı yapılmış bir URL kullanıldı (hxxp://7-zip.tw/a/7z2301-x64[.]msı).
Bu MSI, gerçek 7-Zip yazılımının yanı sıra kötü amaçlı bir DLL (epdevmgr.dll), Tonerjam kötü amaçlı yazılımı ve şifrelenmiş Grager arka kapısını (data.dat) yükleyen Truva atına dönüştürülmüş bir 7-Zip yükleyicisi indirdi.
Mandiant, Tonerjam’ı, Çin bağlantılı casusluk grubu UNC5330 ile bağlantılı olan Grager arka kapısını dağıtan, sistem bilgilerini sızdıran, dosyaları yöneten ve komutları yürüten bir başlatıcı kötü amaçlı yazılım olarak tanımladı.
Özellikle OneDrive kimlik bilgilerini çalıyor, UNC5330 ise daha önce Ivanti Connect Secure VPN güvenlik açıklarını kullanarak cihazları tehlikeye atmış ve aktif tehdit ortamını gözler önüne sermişti.
Symantec, Google Group’un kodunu kullanan MoonTag adlı, henüz geliştirilmemiş bir arka kapı keşfetti.
Kötü amaçlı yazılım, Graph API üzerinden iletişim kuruyor ve 9002 RAT ile aynı özellikleri paylaşıyor; ancak Sabre Panda’ya doğrudan bir atıf kesin değil.
Güçlü göstergeler, kod dili ve altyapıya dayalı Çince konuşan bir tehdit aktörüne işaret ediyor. OneDriveTools, BT hizmet şirketlerini hedef alan yeni bir arka kapıdır.
OneDrive’dan yükleri indirmek ve çalıştırmak için Microsoft Graph API’sini kullanır, bu da benzersiz bir kurban klasörü oluşturur, enfeksiyon durumunu yükler ve bu klasördeki kalp atışı dosyaları ve komut yürütme yoluyla iletişimi sürdürür.
Saldırganlar, tehdit aktörlerinin bulut tabanlı komuta ve kontrol altyapısını kullanma eğilimindeki artıştan yararlanan ve başarılı olmuş diğer grupların kullandığı yöntemlere benzer şekilde Orbweaver ağına bağlanmak için Free Connect tabanlı bir tünelleme aracı olan Whipweave’i kullanıyor.
Güvenliği artırmaya yönelik en iyi uygulamalar arasında kullanılmayan bulut hizmetlerinin engellenmesi, ağ trafiğinde anormalliklerin izlenmesi, potansiyel olarak uygulama beyaz listelemesinin kullanılması, tarayıcı dışı işlemler için bulut hizmeti erişiminin kısıtlanması, veri sızdırma izleme için kritik varlıkların belirlenmesi ve ana bilgisayar tabanlı ve bulut denetim günlüğünün etkinleştirilmesi yer alır.
Uluslararası Olimpiyat Komitesi
d728cdcf62b497362a1ba9dbaac5e442cebe86145734410212d323a6c2959f0f – Trojan.Gogra
f1ccd604fcdc0034d94e575b3709cd124e13389bbee55c59cbbf7d4f3476e214 – Trojan.Gogra
9f61ed14660d8f85d606605d1c4c23849bd7a05afd02444c3b33e3af591cfdc9 – Trojan.Grager
ab6a684146cec59ec3a906d9e018b318fb6452586e8ec8b4e37160bcb4adc985 – Trojan.Grager
97551bd3ff8357831dc2b6d9e152c8968d9ce1cd0090b9683c38ea52c2457824 – Trojan.Grager
f69fb19604362c5e945d8671ce1f63bb1b819256f51568daff6fed6b5cc2f274 – Trojan.Ondritols
582b21409ee32ffca853064598c5f72309247ad58640e96287bb806af3e7bede – Trojan.Ondritols
79e56dc69ca59b99f7ebf90a863f5351570e3709ead07fe250f31349d43391e6 – Trojan.Ondritols
4057534799993a63f41502ec98181db0898d1d82df0d7902424a1899f8f7f9d2 – Trojan.Ondritols
a76507b51d84708c02ca2bd5a5775c47096bc740c9f7989afd6f34825edfcba6 – Trojan.Moontag
527fada7052b955ffa91df3b376cc58d387b39f2f44ebdcb54bc134e112a1c14 – Trojan.Moontag
fd9fc13dbd39f920c52fbc917d6c9ce0a28e0d049812189f1bb887486caedbeb – Trojan.Moontag
30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982 – Whipweave
hxxp://7-zip.tw/a/7z2301-x64[.]msi - Trojan.Grager download URL
hxxp://7-zip.tw/a/7z2301[.]msi - Trojan.Grager download URL
7-zip[.]tw – 7-Zip typosquatted domain
103.255.178[.]200 – MoonTag C&C
157.245.159[.]135 – Whipweave C&C
89.42.178[.]13 – Whipweave C&C
30sof.onedumb[.]com – Whipweave C&C
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide