Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GopherWhisper to nowo opisana grupa APT powiązana z Chinami, której działalność pokazuje, jak szybko zmienia się krajobraz cyberzagrożeń. Zamiast budować wyłącznie własną infrastrukturę dowodzenia i kontroli, operatorzy nadużywają popularnych usług internetowych oraz publicznych interfejsów API, aby ukrywać komunikację z zainfekowanymi systemami i wyprowadzać dane poza organizację.
Taki model działania znacząco utrudnia wykrywanie incydentów, ponieważ złośliwy ruch miesza się z legalnymi połączeniami do powszechnie używanych platform chmurowych, komunikatorów i serwisów współpracy. W praktyce oznacza to, że klasyczne podejście oparte wyłącznie na blokowaniu nieznanych domen staje się coraz mniej skuteczne.
W skrócie
- GopherWhisper to nowa grupa APT powiązana z operacjami szpiegowskimi wymierzonymi m.in. w sektor rządowy.
- Kampania była aktywna co najmniej od listopada 2023 roku.
- Badacze wykryli zestaw backdoorów, loaderów i injectorów, z których wiele napisano w języku Go.
- Do komunikacji C2 i eksfiltracji danych wykorzystywano legalne usługi, takie jak Slack, Discord, Microsoft Graph oraz platformy udostępniania plików.
- Atakujący stosowali wielokanałowy model operacyjny, zwiększający odporność kampanii na blokady i działania obronne.
Kontekst / historia
Aktywność grupy została szerzej opisana po analizie incydentu w instytucji rządowej w Mongolii. To właśnie tam badacze natrafili na backdoor napisany w Go, który stał się punktem wyjścia do identyfikacji całego zestawu powiązanych narzędzi używanych przez aktora zagrożenia.
Dalsze ustalenia wskazały, że GopherWhisper nie pasuje wprost do wcześniej opisanych klastrów APT pod względem kodu, infrastruktury i sposobu działania. Jednocześnie część artefaktów operacyjnych, w tym ślady czasowe oraz elementy związane z komunikacją, miała sugerować powiązanie z Chinami. Według badaczy w jednej organizacji rządowej naruszonych zostało około 12 systemów, choć rzeczywista skala kampanii mogła być większa.
Analiza techniczna
Jednym z najważniejszych narzędzi przypisywanych grupie jest LaxGopher, czyli backdoor napisany w Go, wykorzystujący Slack do komunikacji z operatorami. Implant umożliwia wykonywanie poleceń systemowych, pobieranie dodatkowych ładunków oraz wspieranie eksfiltracji danych. Był wykorzystywany również do rozpoznania zasobów hosta, w tym plików i dysków.
Do jego uruchamiania stosowano injector JabGopher, którego zadaniem było osadzanie backdoora w pamięci procesu svchost.exe. Taka technika utrudnia analizę i zwiększa szansę na obejście prostych mechanizmów detekcji, ponieważ aktywność złośliwego kodu zostaje ukryta wewnątrz procesu systemowego.
Kolejnym elementem zestawu był CompactGopher, służący do zbierania, kompresowania i wysyłania plików do publicznych serwisów wymiany danych za pośrednictwem otwartego API REST. Z perspektywy obrony to szczególnie niebezpieczne, ponieważ transfer może przypominać zwykłą aktywność użytkownika lub aplikacji biznesowej.
Badacze opisali również RatGopher, kolejny implant oparty na Go, który używał Discorda jako kanału C2. Backdoor ten pozwalał otwierać nowe instancje interpretera poleceń, wysyłać pliki oraz pobierać dane z zewnętrznych usług. Wskazuje to na świadome stosowanie wielu kanałów komunikacji, tak aby utrzymać dostęp nawet po zablokowaniu jednego z nich.
W arsenale GopherWhisper znalazł się także SSLORDoor, backdoor napisany w C++, wykorzystujący OpenSSL BIO do komunikacji przez surowe gniazda TCP. Narzędzie umożliwiało uruchamianie ukrytej powłoki, enumerację dysków, manipulację plikami oraz zestawianie nowych połączeń sieciowych. Obecność komponentów zarówno w Go, jak i C++, sugeruje pragmatyczne podejście do budowy zestawu narzędzi.
Szczególnie interesujący był BoxOfFriends, backdoor w Go komunikujący się przez API Microsoft Graph z użyciem roboczych wiadomości w Outlooku. Taka metoda pozwalała ukrywać polecenia oraz odpowiedzi wewnątrz legalnego ekosystemu Microsoft 365. Za ładowanie tego komponentu odpowiadał injector DLL o nazwie FriendDelivery.
Cała kampania wpisuje się w szerszy trend rozwoju nowoczesnych operacji APT: wykorzystanie zaufanych usług jako nośników komunikacji, modułowa architektura, iniekcje do procesów systemowych, wieloetapowa eksfiltracja oraz elastyczne przełączanie kanałów C2. To model, który ogranicza potrzebę utrzymywania własnej, łatwej do wykrycia infrastruktury i podnosi koszt detekcji po stronie ofiary.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wynika z faktu, że złośliwa komunikacja może być ukrywana w usługach powszechnie uznawanych za zaufane. W wielu organizacjach Slack, Outlook, Microsoft 365 czy platformy wymiany plików są obecne w codziennym ruchu, przez co tradycyjne allowlisty domen przestają być wystarczającą barierą ochronną.
Drugim zagrożeniem jest możliwość długotrwałego utrzymania się atakujących w środowisku. Backdoory zdolne do wykonywania poleceń, pobierania kolejnych modułów i pracy w pamięci sprzyjają prowadzeniu rozpoznania, kradzieży dokumentów i przygotowywaniu kolejnych etapów operacji. W sektorze publicznym i administracji może to prowadzić do wycieku informacji o znaczeniu strategicznym.
Istotny jest również aspekt odporności operacyjnej kampanii. Wykorzystanie kilku narzędzi o częściowo zbieżnych funkcjach sprawia, że usunięcie pojedynczego implantu nie musi oznaczać zakończenia incydentu. Operatorzy mogą przełączać się między różnymi usługami i komponentami, zachowując ciągłość działań.
Rekomendacje
Organizacje powinny rozszerzyć monitoring ruchu wychodzącego o analizę behawioralną i kontekstową. Kluczowe staje się nie tylko to, z jaką usługą łączy się host, ale również jaki proces inicjuje połączenie, w jakim łańcuchu uruchomienia oraz czy zachowanie jest zgodne z typowym profilem danego urządzenia.
Warto wdrożyć mechanizmy wykrywające iniekcje do procesów, monitorowanie uruchamiania nowych instancji interpretera poleceń oraz reguły identyfikujące nietypową enumerację plików i dysków. Duże znaczenie ma również korelacja telemetrii EDR z logami poczty, tożsamości i aplikacji SaaS, szczególnie w środowiskach korzystających z Microsoft 365 i Graph API.
Z punktu widzenia ochrony danych zalecane jest ograniczenie możliwości bezpośredniego przesyłania plików do publicznych serwisów oraz objęcie takiego ruchu dodatkowymi politykami DLP. W administracji i sektorach krytycznych zasadne pozostaje także segmentowanie stacji roboczych, ograniczanie uprawnień lokalnych i wdrażanie polityk utrudniających uruchamianie nieautoryzowanych binariów.
- Monitorować połączenia do legalnych usług inicjowane przez nietypowe procesy, zwłaszcza procesy systemowe.
- Analizować anomalie związane z procesem svchost.exe i podobnymi procesami wysokiego zaufania.
- Korelować logi endpointów, poczty, tożsamości i usług SaaS.
- Wdrożyć kontrole DLP dla transferów do zewnętrznych serwisów plikowych.
- Regularnie przeglądać reguły allowlistingu i wyjątki dla usług chmurowych.
Podsumowanie
GopherWhisper pokazuje, że granica między ruchem zaufanym a złośliwym staje się coraz bardziej rozmyta. Grupa połączyła klasyczne możliwości backdoorów z nowoczesnym modelem ukrywania komunikacji i eksfiltracji danych w legalnych usługach internetowych, co istotnie komplikuje proces wykrywania.
Dla obrońców to wyraźny sygnał, że skuteczna detekcja nie może już opierać się jedynie na reputacji domen czy prostych listach dozwolonych usług. Niezbędne staje się podejście obejmujące jednocześnie endpoint, sieć, tożsamość i warstwę SaaS, a także analiza zależności między procesem, użytkownikiem i usługą chmurową.