GopherWhisper: der neue Staatsdarsteller, der Slack, Discord und Microsoft 365 in einen Befehl verwandelt und Arsenal steuert

ESET hat eine anhaltende Kampagne gegen Regierungsbehörden enthüllt, die einen neuen Schauspieler einführen, getauft als GopherWhisper, und deren Besonderheit ist nicht nur seine Herkunft und Ziele, sondern die Art, wie es benutzerdefinierte Malware kombiniert, die meisten in Go mit legitimen kollaborativen Plattformen geschrieben - Microsoft 365 Outlook (via Microsoft Graphh), Slack und Discord - für seine Steuerung und Steuerung Kanäle (C2). Es mag wie eine weitere Variation von Techniken scheinen, die Cloud-Dienste missbrauchen, aber die Mischung von Backdoors Go, Injektoren, die in Systemprozessen bestehen und die Nutzung von öffentlichen File Exchange-Services macht diese Operation zu einer relevanten Bedrohung für öffentliche Verwaltungen und Organisationen mit sensiblen Daten.

Aus technischer Sicht umfasst das entdeckte Toolkit Komponenten wie eine Haupt-Hintertür geschrieben in Go (LaxGopher), die Befehle von einem privaten Slack-Server, eine andere Hintertür, die Discord (RatGopher) verwendet, eine, die Mail-Äraerer in Outlook durch die Microsoft GraphAPI(BoxOffFriends), Treiber / Injektoren, die Payloads in echten Prozessen verstecken (JabGopher, FriendDelivery) und ein Exfiltration-Dienstprogramm (CompactGopher), das Daten komprimiert und auf Dienste wie Datei hochlädt.

Eine Schlüsselresultate des Berichts ist die Präsenz von Anmeldeinformationen, die in die Go-Binaries eingebettet sind, die es den Forschern erlaubt, vollständige C2 wiederherzustellen: Tausende von Nachrichten in Slack und Discord, hochgeladene Dateien und ausgegebene Aufträge. Die Analyse von Zeitmarken und Metadaten weist auf ein mit der Zeitzone UTC + 8 kompatibles Aktivitätsmuster und Metadaten hin, die chinesische Konfiguration (lokale zh-CN) vorschlagen, Daten, die die Zuschreibung an einen Schauspieler mit staatlicher Unterstützung und wahrscheinlicher operativer Basis in dieser Region verstärkt haben.

Die praktischen Auswirkungen sind mehrfach. Erstens, die Legitimität einer externen Plattform zu verlassen, ist kein Sicherheitskriterium mehr: Kooperationsdienste können als legitime Tunnel für schädliche Anweisungen wirken und Daten bewegen, ohne Standard-Traffic-Benachrichtigungen C2 anzuheben. Zweitens macht die Verwendung von in Go geschriebenen Binaren es schwierig, traditionelle statische zu erkennen, weil Gos ausführbare sind oft groß und selbstinklusive, die die Identifizierung anhand einfacher Signaturen erschwert. Drittens, die betrunkenen Anmeldeinformationen und Missbrauch von legitimen APIs erhöhen die Kosten für forensische Untersuchung und Reaktion, da der Gegner wieder Kommunikationswege verwendet, die als legitimer Verkehr scheinen.

Für Verteidiger und Sicherheitsbeamte gibt es konkrete und dringende Maßnahmen, die den Expositionsbereich verringern. Auditing und Revoking Tokens und OAuth-Anwendungen / bestehend aus Microsoft 365, Slack und Discord sollte eine Priorität sein; Überprüfung von Integrationen, die umfangreiche Berechtigungen auf Mailboxen oder Kanälen haben, und Begrenzung der Verwendung von Löschern als Automatisierungskanal sind sofortige Schritte. In Microsoft-Umgebungen aktivieren Sie bedingte Zugriffsrichtlinien, benötigen MFA für API-Berechtigungen und ermöglichen Aufzeichnungen und erweiterte Retention für Microsoft Graphh-Looms erhöhen die Sichtbarkeit auf Plattform wütenden Missbrauch.

In Endpunkten und Netzwerken sollte die auf Go Binaries und Verhaltensmuster fokussierte Telemetrie gestärkt werden: Überwachung von Prozessen, die Code in svchost.exe injizieren, ungewöhnliche DLs erkennen, die als Loader fungieren, und Anwendung von Sperrregeln oder Warnungen für ausgehende Verbindungen zu öffentlichen Dateiaustauschdiensten (z.B. fili.io) oder Domänen / Controllern, die mit veröffentlichten IoC verbunden sind.

Gemeinsame Intelligenz und koordinierte Reaktion sind unerlässlich. ESET hat einen technischen Bericht mit Details und ein Projektarchiv mit Verpflichtungsindikatoren veröffentlicht, die Verteidigungsteams in ihre Erkennungs- und Jagdsysteme integrieren können; es wird empfohlen, sie in ICES-, EDR- und Schlosslisten aufzunehmen. Sie können die ESET-Analyse auf Ihrem Blog lesen und den technischen Bericht von Ihren offiziellen Ressourcen herunterladen: ESET - GopherWhisper: Analyse und ESET - Technischer Bericht (PDF). Indikatoren sind auch im öffentlichen Repository verfügbar: IoC GotherWhisper in GitHub.

Für politische Entscheidungsträger und Compliance unterstreicht dieser Fall die Notwendigkeit von Regelungen und Verträgen, die zugängliche Audit-Aufzeichnungen und die Zusammenarbeit mit der Vorfallsreaktion erfordern, zusätzlich zu der Bedeutung von Kontinuitätsplänen, die eine Exfiltration an öffentliche Dienstleistungen bieten. Organisationen, die mit staatlichen oder strategischen Informationen umgehen, sollten die Integration von Dritten mit der gleichen Härte wie der Code selbst behandeln, Anwendung von Grundsätzen der Mindestberechtigung, kontinuierliche Überprüfung und Sicherheitstests.

Schließlich für die operativen Sicherheitsausrüstung: Design-Senken Übungen, die Suchanfragen für Aktivitätsmuster in Slack / Discord, die nicht der legitimen Verwendung entsprechen, für die Änderung von Radierern in Postfächern und für unerwartete Go-Prozesse. Aktivieren und behalten Sie ausreichende Protokolle, um Angriffsketten neu aufzubauen und mit Cloud-Lieferanten und Kollaborationsplattformen zu koordinieren, um die Eindämmung zu beschleunigen. Die technische Raffinesse von GopherWhisper zeigt, dass staatliche Bedrohungen die Taktik an die globale kollaborative Infrastruktur anpassen; Verteidigung erfordert eine Kombination von technischen Kontrollen, verbesserte Sichtbarkeit und Zusammenarbeit zwischen öffentlichen, privaten und Dienstleistern.