2023 年 11 月，南亚一家未具名的媒体组织使用以前未记录的基于 Go 的后门 GoGra 成为攻击目标。

“GoGra是用Go编写的，并使用Microsoft Graph API与托管在Microsoft邮件服务上的命令和控制（C&C）服务器进行交互，”Broadcom旗下的赛门铁克在与The Hacker News分享的一份报告中表示。

目前尚不清楚它是如何交付到目标环境的。但是，GoGra 专门配置为从 Outlook 用户名“FNU LNU”读取消息，其主题行以单词“Input”开头。

然后，在密码块链接 （CBC） 模式下，使用密钥使用 AES-256 算法解密消息内容，然后通过 cmd.exe执行命令。

然后，将操作结果加密并发送给主题为“输出”的同一用户。

据说GoGra是一个名为Harvester的民族国家黑客组织的工作，因为它与名为Graphon的定制.NET植入物相似，该植入物也利用Graph API进行C&C目的。

这一发展正值威胁行为者越来越多地利用合法的云服务来保持低调并避免购买专用基础设施。

下面列出了采用该技术的其他一些新恶意软件家族 –

• Firefly 在针对东南亚军事组织的网络攻击中部署的一种以前看不见的数据泄露工具。收集的信息会使用硬编码刷新令牌上传到 Google Drive。

• 2024 年 4 月，针对台湾、香港和越南的三个组织部署了一个名为 Grager 的新后门。它使用 Graph API 与托管在 Microsoft OneDrive 上的 C&C 服务器进行通信。该活动初步与一名疑似中国威胁行为者有关，该行为者被追踪为UNC5330。

• 一个名为 MoonTag 的后门，包含与 Graph API 通信的功能，并归因于讲中文的威胁参与者

• 一个名为 Onedrivetools 的后门，已用于对付美国和欧洲的 IT 服务公司。它使用Graph API与OneDrive上托管的C&C服务器进行交互，以执行接收到的命令并将输出保存到OneDrive。

“尽管利用云服务进行命令和控制并不是一项新技术，但最近越来越多的攻击者开始使用它，”赛门铁克说，并指出了BLUELIGHT，Graphite，Graphican和BirdyClient等恶意软件。

“现在部署利用云服务的威胁的参与者数量表明，间谍行为者显然正在研究其他组织制造的威胁，并模仿他们认为成功的技术。