قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار لینوکس بکدور لینوکس GoGra

بکدور لینوکس GoGra

تا Mezo در بدافزار لینوکس, تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

عامل تهدید معروف به هاروستر (Harvester) به یک نوع لینوکسیِ تازه شناسایی‌شده از درِ پشتیِ GoGra خود مرتبط شده است که نشان‌دهنده‌ی گسترش مداوم عملیات جاسوسی سایبری آن است. اعتقاد بر این است که این حملات در درجه اول نهادهایی را در سراسر جنوب آسیا هدف قرار می‌دهند و شواهد پزشکی قانونی به فعالیت‌هایی اشاره دارد که از هند و افغانستان سرچشمه می‌گیرند. این نشان می‌دهد که یک کمپین جمع‌آوری اطلاعات متمرکز، سازمان‌هایی را در این مناطق هدف قرار داده است.

مخفی‌کاری از طریق کانال‌های قابل اعتماد: سوءاستفاده از زیرساخت ابری

یکی از ویژگی‌های بارز این کمپین، سوءاستفاده از سرویس‌های ابری قانونی برای ارتباطات پنهان است. این بدافزار از Microsoft Graph API در کنار صندوق‌های پستی Outlook به عنوان یک کانال فرماندهی و کنترل (C2) پنهان استفاده می‌کند. مهاجمان با جاسازی ارتباطات مخرب در پلتفرم‌های مورد اعتماد، به طور مؤثر از سدهای دفاعی سنتی عبور می‌کنند و تشخیص آنها را به طور قابل توجهی دشوارتر می‌کنند.

از گرافون تا گوگرا: تکامل یک عامل تهدید

هاروستر اولین بار در اواخر سال ۲۰۲۱ مورد توجه عموم قرار گرفت، زمانی که با یک کمپین سرقت اطلاعات که بخش‌های مخابرات، دولت و فناوری اطلاعات در جنوب آسیا را هدف قرار می‌داد، مرتبط بود. در طول آن مرحله، این گروه یک ایمپلنت سفارشی به نام گرافون را مستقر کرد که از رابط برنامه‌نویسی کاربردی مایکروسافت گراف برای ارتباطات C2 نیز استفاده می‌کرد.

در آگوست ۲۰۲۴، فعالیت‌های بیشتر این گروه را به عملیاتی علیه یک سازمان رسانه‌ای در منطقه مرتبط کرد. این عملیات، GoGra ، یک درب پشتی مبتنی بر Go که قبلاً دیده نشده بود، را معرفی کرد. یافته‌های اخیر تأیید می‌کند که Harvester این قابلیت را فراتر از محیط‌های ویندوز گسترش داده و اکنون یک نوع خاص لینوکس از همان خانواده بدافزار را مستقر می‌کند.

ورود فریبنده: مهندسی اجتماعی و تاکتیک‌های اجرایی

آلودگی اولیه به شدت به تکنیک‌های مهندسی اجتماعی متکی است. قربانیان طوری دستکاری می‌شوند که فایل‌های باینری ELF را که به صورت اسناد PDF پنهان شده‌اند، باز کنند. پس از اجرا، بدافزار یک سند جعلی نمایش می‌دهد تا توهم مشروعیت را حفظ کند، در حالی که مخفیانه درِ پشتی را در پس‌زمینه مستقر می‌کند.

گردش کار فرماندهی و کنترل: دقت و پشتکار

نوع لینوکس GoGra از نظر منطق ارتباطی و جریان عملیاتی، مشابه همتای ویندوزی خود است. این بدافزار با یک پوشه‌ی صندوق پستی Outlook با برچسب «Zomato Pizza» تعامل دارد و هر دو ثانیه از طریق پرس‌وجوهای پروتکل داده‌ی باز (OData) آن را بررسی می‌کند. این بدافزار پیام‌های ورودی را رصد می‌کند و فقط آنهایی را که معیارهای خاصی را برآورده می‌کنند، پردازش می‌کند:

  • ایمیل‌هایی که عنوان آنها با «ورودی» شروع می‌شود، به عنوان دستورالعمل‌های انجام وظیفه شناسایی می‌شوند.
  • متن پیام با Base64 رمزگشایی شده و به عنوان دستورات shell از طریق /bin/bash اجرا می‌شود.
  • نتایج اجرا از طریق پاسخ‌های ایمیل با موضوع «خروجی» استخراج می‌شوند.
  • ایمیل‌های اصلی مربوط به وظایف پس از اجرا حذف می‌شوند تا ردپاهای قانونی از بین بروند.

    • ردپای توسعه‌ی پایدار در پلتفرم‌های مختلف

    علیرغم تفاوت در سیستم عامل‌ها و روش‌های استقرار، معماری زیربنایی C2 بین نسخه‌های ویندوز و لینوکس ثابت مانده است. محققان همچنین خطاهای املایی hard-coded یکسانی را در هر دو نوع مشاهده کرده‌اند که قویاً نشان‌دهنده‌ی یک توسعه‌دهنده یا تیم توسعه‌ی مشترک در پشت این ابزارها است.

    پیامدهای استراتژیک: گسترش سطح حمله

    معرفی یک درِ پشتی مبتنی بر لینوکس، تلاش‌های مداوم هاروستر برای تنوع‌بخشی به قابلیت‌های خود و افزایش انعطاف‌پذیری عملیاتی را برجسته می‌کند. این گروه با هدف قرار دادن چندین سیستم عامل و بهره‌گیری از سرویس‌های ابری معتبر، خود را در موقعیتی قرار می‌دهد که طیف وسیع‌تری از محیط‌ها را به خطر بیندازد و در عین حال، میزان شناسایی پایینی داشته باشد.

    این تکامل، پیچیدگی روزافزون عوامل تهدید مدرن و نیاز به دفاع‌های امنیت سایبری تطبیقی و مبتنی بر رفتار را برجسته می‌کند.

    پرطرفدار

    Forestrievic.com

    وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    مرور ایمن وب نیازمند هوشیاری مداوم است. وب‌سایت‌های مخرب به‌طور خاص برای سوءاستفاده از اعتماد کاربران از طریق تکنیک‌های فریبنده طراحی شده‌اند و یکی از تاکتیک‌های رایج، بررسی‌های جعلی CAPTCHA است....

    پربیننده ترین

    بارگذاری...