Một tổ chức truyền thông giấu tên ở Nam Á đã bị nhắm mục tiêu vào tháng 11/20233 bằng cách sử dụng một cửa hậu dựa trên Go không có giấy tờ trước đây có tên GoGra.
Hiện tại vẫn chưa rõ làm thế nào nó được phân phối đến các môi trường mục tiêu. Tuy nhiên, GoGra được cấu hình đặc biệt để đọc thư từ tên người dùng Outlook "FNU LNU" có dòng chủ đề bắt đầu bằng từ "Đầu vào".
Nội dung tin nhắn sau đó được giải mã bằng thuật toán AES-256 trong chế độ Cipher Block Chaining (CBC) bằng khóa, sau đó nó thực hiện các lệnh thông qua cmd.exe.
Kết quả của hoạt động sau đó được mã hóa và gửi đến cùng một người dùng với chủ đề "Đầu ra".
GoGra được cho là công việc của một nhóm hack quốc gia được gọi là Harvester do sự tương đồng của nó với một bộ cấy .NET tùy chỉnh có tên Graphon cũng sử dụng API Đồ thị cho mục đích C &C.
Sự phát triển này diễn ra khi các tác nhân đe dọa đang ngày càng tận dụng các dịch vụ đám mây hợp pháp để ở mức thấp và tránh phải mua cơ sở hạ tầng chuyên dụng.
Một số họ phần mềm độc hại mới khác đã sử dụng kỹ thuật này được liệt kê dưới đây -
- Một công cụ lọc dữ liệu chưa từng thấy trước đây được Firefly triển khai trong một cuộc tấn công mạng nhắm vào một tổ chức quân sự ở Đông Nam Á. Thông tin thu thập được tải lên Google Drive bằng mã thông báo làm mới được mã hóa cứng.
- Một backdoor mới có tên Grager đã được triển khai chống lại ba tổ chức ở Đài Loan, Hồng Kông và Việt Nam vào tháng 4/2024. Nó sử dụng API Đồ thị để giao tiếp với máy chủ C&C được lưu trữ trên Microsoft OneDrive. Hoạt động này đã được tạm thời liên kết với một tác nhân đe dọa bị nghi ngờ của Trung Quốc được theo dõi là UNC5330.
- Một backdoor được gọi là MoonTag chứa chức năng giao tiếp với API Đồ thị và được quy cho một tác nhân đe dọa nói tiếng Trung Quốc
- Một backdoor được gọi là Onedrivetools đã được sử dụng để chống lại các công ty dịch vụ CNTT ở Mỹ và Châu Âu. Nó sử dụng API Đồ thị để tương tác với máy chủ C&C được lưu trữ trên OneDrive để thực thi các lệnh đã nhận và lưu đầu ra vào OneDrive.