Puerta trasera de GoGra

En noviembre de 2023, una organización de medios del sur de Asia fue atacada mediante un nuevo backdoor basado en Go, conocido como GoGra. Este malware, escrito en el lenguaje de programación Go, aprovecha la API Graph de Microsoft para comunicarse con un servidor de Comando y Control (C&C) alojado en los servicios de correo de Microsoft. Hasta el momento, se desconoce el método de entrega de GoGra a los entornos objetivo. Cabe destacar que GoGra está diseñado para leer mensajes de una cuenta de Outlook con el nombre de usuario "FNU LNU", específicamente aquellos con líneas de asunto que comiencen con "Entrada".

GoGra comparte similitudes con malware descubierto anteriormente

El contenido del mensaje se descifra utilizando el algoritmo AES-256 en modo Cipher Block Chaining (CBC) utilizando una clave específica. Después del descifrado, los comandos se ejecutan a través de cmd.exe. Los resultados se cifran y se envían de vuelta al mismo usuario con el asunto "Output". Se cree que GoGra fue desarrollado por un grupo de piratas informáticos de un estado-nación conocido como Harvester , debido a sus similitudes con un implante .NET personalizado llamado Graphon , que también utiliza la Graph API para funciones de Comando y Control (C&C).

Los actores de amenazas explotan cada vez más los servicios legítimos de la nube

Los actores de amenazas explotan cada vez más los servicios de nube legítimos para permanecer discretos y evitar los costos asociados con la infraestructura dedicada.

Algunos ejemplos destacados de esta tendencia incluyen:

• Firefly : una nueva herramienta de exfiltración de datos utilizada en un ciberataque contra una organización militar en el sudeste asiático. Los datos recopilados se cargan en Google Drive mediante un token de actualización codificado.
• Grager : En abril de 2024 se descubrió una nueva puerta trasera que atacaba a organizaciones de Taiwán, Hong Kong y Vietnam. Se comunica con un servidor de comando y control (C&C) alojado en Microsoft OneDrive a través de la API Graph. Esta actividad está vinculada tentativamente con el supuesto actor de amenazas chino conocido como UNC5330.
• MoonTag : una puerta trasera con funcionalidad para interactuar con la API Graph atribuida a un actor de amenazas de habla china.
• Onedrivetools : una puerta trasera utilizada contra empresas de servicios de TI en Estados Unidos y Europa. Emplea la API Graph para comunicarse con un servidor C&C en OneDrive, ejecuta comandos y guarda los resultados en la misma plataforma.

Si bien el uso de servicios en la nube para comando y control no es una técnica nueva, su adopción entre los atacantes ha aumentado recientemente.

Los peligros de las infecciones por puerta trasera

Un malware de puerta trasera plantea peligros importantes para las organizaciones o usuarios afectados, entre ellos:

• Acceso no autorizado : las puertas traseras proporcionan a los atacantes acceso oculto a los sistemas, lo que les permite eludir los mecanismos de autenticación normales. Este acceso no autorizado puede provocar la vulneración de datos confidenciales y sistemas críticos.
• Robo de datos : los atacantes pueden utilizar puertas traseras para extraer información confidencial, incluidos datos personales, propiedad intelectual y registros financieros. Estos datos recopilados se pueden utilizar para el robo de identidad, el espionaje corporativo o la venta en la red oscura.
• Control y manipulación del sistema : una vez que se instala una puerta trasera, los atacantes pueden obtener el control de los sistemas afectados. Este control les permite ejecutar comandos, instalar malware adicional, alterar configuraciones del sistema o manipular datos.
• Compromiso de red : las puertas traseras suelen facilitar el movimiento lateral dentro de una red. Los atacantes pueden utilizar un compromiso inicial para moverse lateralmente a través de sistemas conectados, lo que podría afectar a redes enteras y aumentar el alcance de su ataque.
• Interrupción de las operaciones : el malware de puerta trasera puede interrumpir las operaciones comerciales normales al provocar fallas del sistema, eliminar o cifrar archivos críticos o generar problemas de rendimiento. Esto puede generar tiempo de inactividad operativa y pérdidas financieras.
• Espionaje y vigilancia : las puertas traseras se pueden utilizar para espiar, lo que permite a los atacantes monitorear y registrar las actividades, las comunicaciones y las interacciones de los usuarios. Esta vigilancia puede comprometer la privacidad y provocar la filtración de información confidencial.
• Daño a la reputación : la presencia de malware de puerta trasera puede dañar el buen nombre de una organización, lo que lleva a la pérdida de la confianza de los clientes. Esto puede tener efectos a largo plazo en las relaciones comerciales y la posición en el mercado.
• Consecuencias legales y normativas : las organizaciones pueden enfrentarse a consecuencias legales y normativas si no pueden proteger los datos confidenciales. Las filtraciones de datos que involucran malware de puerta trasera pueden derivar en multas, acciones legales y problemas de cumplimiento.

En resumen, el malware de puerta trasera presenta una amenaza multifacética que puede comprometer la seguridad, la privacidad y la integridad operativa, por lo que es esencial que las organizaciones y los usuarios empleen medidas de seguridad sólidas y permanezcan atentos ante posibles intrusiones.