GoGra Linux Backdoor

تم ربط الجهة الخبيثة المعروفة باسم "هارفستر" بنسخة جديدة من برنامج "جوجرا" الخبيث، والمخصصة لنظام لينكس، مما يشير إلى توسع مستمر في عمليات التجسس الإلكتروني. ويُعتقد أن هذه الهجمات تستهدف بشكل أساسي كيانات في جنوب آسيا، حيث تشير الأدلة الجنائية الرقمية إلى نشاط مصدره الهند وأفغانستان. وهذا يدل على حملة استخباراتية مركزة تستهدف منظمات داخل هذه المناطق.

التخفي عبر قنوات موثوقة: إساءة استخدام البنية التحتية السحابية

من أبرز سمات هذه الحملة استغلال خدمات الحوسبة السحابية المشروعة للتواصل السري. يستغل البرنامج الخبيث واجهة برمجة تطبيقات Microsoft Graph API إلى جانب صناديق بريد Outlook كقناة تحكم وقيادة مخفية. ومن خلال تضمين اتصالات خبيثة ضمن منصات موثوقة، يتجاوز المهاجمون بفعالية دفاعات الشبكة التقليدية، مما يجعل اكتشافهم أكثر صعوبة.

من غرافون إلى غوغرا: تطور جهة تهديد

برزت مجموعة "هارفستر" للعلن لأول مرة في أواخر عام 2021، عندما ارتبط اسمها بحملة لسرقة المعلومات استهدفت قطاعات الاتصالات والحكومة وتكنولوجيا المعلومات في جنوب آسيا. خلال تلك المرحلة، زرعت المجموعة برنامجًا خبيثًا مخصصًا يُعرف باسم "غرافون"، والذي استخدم أيضًا واجهة برمجة تطبيقات "مايكروسوفت غراف" للاتصال بالتحكم والسيطرة.

في أغسطس 2024، ربطت أنشطة أخرى المجموعة بعملية استهدفت مؤسسة إعلامية في المنطقة. وقد أدت هذه العملية إلى إدخال برنامج GoGra ، وهو باب خلفي غير معروف سابقًا مبني على لغة البرمجة Go. وتؤكد نتائج حديثة أن مجموعة Harvester قد وسّعت نطاق هذه القدرة لتشمل بيئات أخرى غير بيئات Windows، حيث تقوم الآن بنشر نسخة خاصة بنظام Linux من نفس عائلة البرامج الخبيثة.

التسلل الخادع: الهندسة الاجتماعية وتكتيكات التنفيذ

تعتمد العدوى الأولية بشكل كبير على أساليب الهندسة الاجتماعية. يتم التلاعب بالضحايا لفتح ملفات ELF ثنائية مُتنكرة في هيئة ملفات PDF. بمجرد تشغيلها، يعرض برنامج التثبيت مستندًا وهميًا للحفاظ على مظهر الشرعية بينما يقوم بنشر الباب الخلفي في الخفاء.

سير عمل القيادة والتحكم: الدقة والمثابرة

يُحاكي إصدار لينكس من برنامج GoGra نظيره في ويندوز من حيث منطق الاتصال وسير العمل. ويتفاعل مع مجلد بريد إلكتروني مُحدد في Outlook يحمل اسم "Zomato Pizza"، حيث يقوم باستطلاعه كل ثانيتين عبر استعلامات بروتوكول البيانات المفتوحة (OData). ويراقب البرنامج الخبيث الرسائل الواردة ولا يعالج إلا تلك التي تستوفي معايير مُحددة.

• يتم تحديد رسائل البريد الإلكتروني التي تبدأ عناوينها بكلمة "Input" على أنها تعليمات للمهام
• يتم فك تشفير نص الرسالة باستخدام Base64 وتنفيذه كأوامر shell من خلال /bin/bash

• يتم استخراج نتائج التنفيذ عبر رسائل البريد الإلكتروني التي تحمل عنوان "النتائج".

• يتم حذف رسائل البريد الإلكتروني الأصلية الخاصة بالمهام بعد تنفيذها لإزالة أي آثار جنائية.

بصمات تطوير متسقة عبر المنصات

على الرغم من الاختلافات في أنظمة التشغيل وطرق النشر، إلا أن بنية التحكم والسيطرة الأساسية تظل متسقة بين إصداري ويندوز ولينكس. وقد لاحظ الباحثون أيضاً وجود أخطاء إملائية متطابقة في كلا الإصدارين، مما يشير بقوة إلى وجود مطور أو فريق تطوير مشترك وراء هذه الأدوات.

الآثار الاستراتيجية: توسيع نطاق الهجوم

يُبرز إدخال باب خلفي قائم على نظام لينكس جهود هارفيستر المستمرة لتنويع قدراتها وزيادة مرونتها التشغيلية. فمن خلال استهداف أنظمة تشغيل متعددة والاستفادة من خدمات الحوسبة السحابية الموثوقة، تُهيئ المجموعة نفسها لاختراق نطاق أوسع من البيئات مع الحفاظ على مستوى منخفض من إمكانية الكشف.

يؤكد هذا التطور على التطور المتزايد للجهات الفاعلة في التهديدات الحديثة والحاجة إلى دفاعات الأمن السيبراني التكيفية القائمة على السلوك.