GopherWhisper cilja mongolske državne sisteme Go backdoor alatima
Mongolske državne institucije bile su meta ranije nedokumentovane APT grupe koju ESET prati kao GopherWhisper i povezuje sa Kinom. Grupa koristi niz alata uglavnom pisanih u Go jeziku, uključujući backdoor-e, injectore i alate za prikupljanje dokumenata, fotografija, PDF-ova i Office fajlova. Za komandnu komunikaciju i krađu podataka zloupotrebljeni su legitimni servisi kao što su Discord, Slack, Microsoft 365 Outlook i file.io. ESET navodi da je oko 12 sistema jedne mongolske državne institucije bilo zaraženo, dok C2 saobraćaj ukazuje na mogućnost većeg broja žrtava.
Državne institucije su česta meta ovakvih operacija zato što se kroz njihove dokumente, komunikaciju i interne sisteme može doći do politički i operativno vrednih informacija. Poseban problem je upotreba legitimnih cloud i komunikacionih servisa, jer takav saobraćaj često izgleda manje sumnjivo od klasične malware infrastrukture.
- Pratiti neobičan saobraćaj ka Discord, Slack, file.io i Microsoft Graph API servisima iz državnih i poslovnih mreža
- Ograničiti upotrebu javnih file sharing servisa i dozvoliti ih samo tamo gde postoji poslovna potreba
- Pregledati endpoint logove za neobično pokretanje cmd.exe procesa iz DLL, loader ili nepoznatih Go binarnih fajlova
- Uvesti pravila za detekciju masovnog prikupljanja i kompresovanja dokumenata pre slanja van mreže
- Proveriti da li postoje nepoznati Outlook nalozi, draft email komunikacija ili neobične Microsoft Graph aktivnosti