Güney Asya’da ismi açıklanmayan bir medya kuruluşu Kasım 2023’te GoGra adı verilen daha önce belgelenmemiş bir Go tabanlı arka kapı kullanılarak hedef alındı.
Broadcom’un bir parçası olan Symantec, The Hacker News ile paylaştığı raporda, “GoGra, Go ile yazılmış olup Microsoft posta servislerinde barındırılan bir komut ve kontrol (C&C) sunucusuyla etkileşim kurmak için Microsoft Graph API’sini kullanıyor” ifadelerini kullandı.
Hedef ortamlara nasıl iletildiği henüz net değil, GoGra özel olarak konu satırı “Input” kelimesiyle başlayan “FNU LNU” Outlook kullanıcı adından gelen mesajları okumak üzere yapılandırılmış.
Mesaj içerikleri daha sonra bir anahtar kullanılarak Şifreli Blok Zincirleme (CBC) modunda AES-256 algoritması kullanılarak şifresi çözülür ve ardından cmd.exe aracılığıyla komutlar yürütülür.
İşlemin sonuçları daha sonra şifrelenerek aynı kullanıcıya “Çıktı” konusuyla gönderilir.
GoGra’nın, C&C amaçları için Graph API’yi kullanan Graphon adlı özel bir .NET yazılımına benzemesi nedeniyle Harvester olarak bilinen bir ulus-devlet hacker grubunun işi olduğu söyleniyor.
Gelişme, tehdit aktörlerinin düşük profilli kalmak ve özel altyapı satın almaktan kaçınmak için meşru bulut hizmetlerinden giderek daha fazla yararlanmaya başlamasıyla birlikte ortaya çıktı.
Bu tekniği kullanan diğer yeni kötü amaçlı yazılım ailelerinden bazıları aşağıda listelenmiştir –
- Firefly tarafından Güneydoğu Asya’daki bir askeri organizasyonu hedef alan bir siber saldırıda konuşlandırılan daha önce görülmemiş bir veri sızdırma aracı. Toplanan bilgiler, sabit kodlanmış bir yenileme belirteci kullanılarak Google Drive’a yüklenir.
- Grager adlı yeni bir arka kapı, Nisan 2024’te Tayvan, Hong Kong ve Vietnam’daki üç kuruluşa karşı konuşlandırıldı. Microsoft OneDrive’da barındırılan bir C&C sunucusuyla iletişim kurmak için Graph API’yi kullanır. Etkinlik, UNC5330 olarak izlenen şüpheli bir Çinli tehdit aktörüyle geçici olarak ilişkilendirildi.
- MoonTag olarak bilinen bir arka kapı, Graph API ile iletişim kurmak için işlevsellik içeriyor ve Çince konuşan bir tehdit aktörüne atfediliyor
- Onedrivetools adlı bir arka kapı ABD ve Avrupa’daki BT hizmetleri şirketlerine karşı kullanıldı. Alınan komutları yürütmek ve çıktıyı OneDrive’a kaydetmek için OneDrive’da barındırılan bir C&C sunucusuyla etkileşim kurmak için Graph API’yi kullanır.
Symantec, BLUELIGHT, Graphite, Graphican ve BirdyClient gibi kötü amaçlı yazılımlara işaret ederek, “Bulut hizmetlerinden komuta ve kontrol amacıyla yararlanmak yeni bir teknik olmasa da, son zamanlarda giderek daha fazla saldırgan bunu kullanmaya başladı” dedi.
“Bulut hizmetlerinden yararlanan tehditleri devreye sokan aktörlerin sayısı, casusluk aktörlerinin açıkça diğer gruplar tarafından yaratılan tehditleri incelediğini ve başarılı olduğunu düşündükleri teknikleri taklit ettiğini gösteriyor.”