Задна вратичка на GoGra за Linux
Злоумишленикът, известен като Harvester, е свързан с новооткрит Linux вариант на неговата бекдор система GoGra, което сигнализира за продължаващо разширяване на кибершпионските ѝ операции. Смята се, че тези атаки са насочени предимно към организации в Южна Азия, като криминалистичните доказателства сочат активност, произхождаща от Индия и Афганистан. Това предполага целенасочена кампания за събиране на разузнавателна информация, насочена към организации в тези региони.
Съдържание
Скритост чрез надеждни канали: Злоупотреба с облачна инфраструктура
Определяща характеристика на тази кампания е злоупотребата с легитимни облачни услуги за скрита комуникация. Зловредният софтуер използва Microsoft Graph API, заедно с пощенските кутии на Outlook, като скрит канал за командване и контрол (C2). Чрез вграждане на злонамерени комуникации в надеждни платформи, нападателите ефективно заобикалят традиционните периметърни защити, което прави откриването значително по-трудно.
От Graphon до GoGra: Еволюция на заплашителния актьор
Harvester за първи път привлече общественото внимание в края на 2021 г., когато беше свързан с кампания за кражба на информация, насочена към телекомуникационния, правителствения и ИТ секторите в Южна Азия. По време на този етап групата внедри персонализиран имплант, известен като Graphon, който също използваше Microsoft Graph API за C2 комуникация.
През август 2024 г. по-нататъшна активност свърза групата с операция срещу медийна организация в региона. Тази операция въведе GoGra , невиждан досега заден ход, базиран на Go. Последните открития потвърждават, че Harvester е разширил тази възможност отвъд Windows среди, като сега внедрява специфичен за Linux вариант на същото семейство зловреден софтуер.
Подвеждащо влизане: Социално инженерство и тактики за изпълнение
Първоначалната инфекция разчита до голяма степен на техники за социално инженерство. Жертвите са манипулирани да отварят ELF двоични файлове, маскирани като PDF документи. След изпълнение, дропърът показва документ-примамка, за да поддържа илюзията за легитимност, докато тихо разгръща задната вратичка във фонов режим.
Работен процес на командване и контрол: Прецизност и постоянство
Linux вариантът на GoGra е копие на Windows еквивалента си по отношение на комуникационната логика и оперативния поток. Той взаимодейства с определена папка на пощенската кутия на Outlook, обозначена като „Zomato Pizza“, като я проверява на всеки две секунди чрез заявки към Open Data Protocol (OData). Зловредният софтуер следи входящите съобщения и обработва само тези, които отговарят на определени критерии:
- Имейлите с теми, започващи с „Input“, се идентифицират като инструкции за задача
- Тялото на съобщението се декодира по Base64 и се изпълнява като shell команди чрез /bin/bash
- Резултатите от изпълнението се изпращат чрез имейл отговори с тема „Резултат“.
- Оригиналните имейли със задачи се изтриват след изпълнението им, за да се елиминират криминалистичните следи.
Последователни отпечатъци от разработка на различни платформи
Въпреки разликите в операционните системи и методите за внедряване, основната C2 архитектура остава последователна между версиите за Windows и Linux. Изследователите също така са наблюдавали идентични твърдо кодирани правописни грешки и в двата варианта, което ясно показва, че зад инструментите стои общ разработчик или екип от разработчици.
Стратегически последици: Разширяване на повърхността за атака
Въвеждането на базирана на Linux задна врата подчертава продължаващите усилия на Harvester за диверсифициране на възможностите си и увеличаване на оперативната гъвкавост. Чрез насочване към множество операционни системи и използване на надеждни облачни услуги, групата се позиционира така, че да компрометира по-широк спектър от среди, като същевременно поддържа нисък профил на откриване.
Тази еволюция подчертава нарастващата сложност на съвременните хакери и необходимостта от адаптивни, базирани на поведението системи за киберсигурност.
