Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós de Linux Porta del darrere de GoGra Linux

Porta del darrere de GoGra Linux

El Mezo el Programari maliciós de Linux, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

L'actor maliciós conegut com a Harvester ha estat vinculat a una variant Linux recentment identificada de la seva porta del darrere GoGra, cosa que indica una expansió contínua de les seves operacions de ciberespionatge. Es creu que aquests atacs tenen com a objectiu principal entitats del sud d'Àsia, amb proves forenses que apunten a una activitat originada a l'Índia i l'Afganistan. Això suggereix una campanya de recopilació d'intel·ligència específica dirigida a organitzacions d'aquestes regions.

Furt a través de canals de confiança: abús de la infraestructura del núvol

Una característica definidora d'aquesta campanya és l'abús de serveis al núvol legítims per a la comunicació encoberta. El programari maliciós aprofita l'API de Microsoft Graph juntament amb les bústies de correu d'Outlook com a canal de comandament i control (C2) ocult. En integrar comunicacions malicioses dins de plataformes de confiança, els atacants eviten eficaçment les defenses perimetrals tradicionals, cosa que dificulta significativament la detecció.

De Graphon a GoGra: l’evolució d’un actor d’amenaces

Harvester va sortir a l'atenció del públic per primera vegada a finals del 2021, quan es va associar amb una campanya de robatori d'informació dirigida als sectors de les telecomunicacions, el govern i les tecnologies de la informació del sud d'Àsia. Durant aquesta fase, el grup va desplegar un implant personalitzat conegut com a Graphon, que també utilitzava l'API de Microsoft Graph per a la comunicació C2.

A l'agost de 2024, una altra activitat va vincular el grup a una operació contra una organització de mitjans de comunicació de la regió. Aquesta operació va introduir GoGra , una porta del darrere basada en Go inèdita fins ara. Descobriments recents confirmen que Harvester ha estès aquesta capacitat més enllà dels entorns Windows, ara implementant una variant específica de Linux de la mateixa família de programari maliciós.

Entrada enganyosa: enginyeria social i tàctiques d’execució

La infecció inicial es basa en gran mesura en tècniques d'enginyeria social. Les víctimes són manipulades perquè obrin binaris ELF disfressats de documents PDF. Un cop executat, el programa "dropper" mostra un document esquer per mantenir la il·lusió de legitimitat mentre desplega silenciosament la porta del darrere en segon pla.

Flux de treball de comandament i control: precisió i persistència

La variant de Linux de GoGra reflecteix la seva contrapart de Windows pel que fa a la lògica de comunicació i el flux operatiu. Interactua amb una carpeta de bústia de correu d'Outlook designada anomenada "Zomato Pizza", i la sondeja cada dos segons mitjançant consultes del Protocol de Dades Obertes (OData). El programari maliciós supervisa els missatges entrants i processa només aquells que compleixen uns criteris específics:

  • Els correus electrònics amb assumptes que comencen per "Input" s'identifiquen com a instruccions de tasques.
  • El cos del missatge es descodifica en Base64 i s'executa com a ordres de shell a través de /bin/bash
  • Els resultats de l'execució s'exfiltren mitjançant respostes per correu electrònic amb l'assumpte "Output"
  • Els correus electrònics de les tasques originals s'eliminen després de l'execució per eliminar rastres forenses.

Empremtes digitals de desenvolupament consistents a través de plataformes

Malgrat les diferències en els sistemes operatius i els mètodes de desplegament, l'arquitectura C2 subjacent es manté coherent entre les versions de Windows i Linux. Els investigadors també han observat errors ortogràfics idèntics en el codi fix en ambdues variants, cosa que indica clarament un desenvolupador o equip de desenvolupament compartit darrere de les eines.

Implicacions estratègiques: Ampliació de la superfície d’atac

La introducció d'una porta del darrere basada en Linux destaca els esforços continus de Harvester per diversificar les seves capacitats i augmentar la flexibilitat operativa. En centrar-se en múltiples sistemes operatius i aprofitar els serveis al núvol de confiança, el grup es posiciona per comprometre una gamma més àmplia d'entorns alhora que manté un perfil de detecció baix.

Aquesta evolució subratlla la creixent sofisticació dels actors d'amenaces moderns i la necessitat de defenses de ciberseguretat adaptatives i basades en el comportament.

Tendència

Més vist

Carregant...