הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית של לינוקס GoGra Linux Backdoor

GoGra Linux Backdoor

עד Mezo ב-תוכנה זדונית של לינוקס, איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

גורם האיום המכונה Harvester נקשר לגרסה חדשה של דלת אחורית GoGra של לינוקס, דבר המאותת על התרחבות מתמשכת של פעולות הריגול הקיברנטי שלה. ההערכה היא שמתקפות אלו מכוונות בעיקר לגופים ברחבי דרום אסיה, כאשר ראיות פורנזיות מצביעות על פעילות שמקורה בהודו ובאפגניסטן. הדבר מצביע על קמפיין איסוף מודיעין ממוקד המכוון לארגונים באזורים אלה.

התגנבות דרך ערוצים מהימנים: ניצול לרעה של תשתית ענן

מאפיין בולט של קמפיין זה הוא ניצול לרעה של שירותי ענן לגיטימיים לתקשורת חשאית. התוכנה הזדונית מנצלת את Microsoft Graph API לצד תיבות דואר של Outlook כערוץ פיקוד ובקרה (C2) מוסתר. על ידי הטמעת תקשורת זדונית בפלטפורמות מהימנות, התוקפים עוקפים ביעילות הגנות היקפיות מסורתיות, מה שהופך את הגילוי למאתגר משמעותית.

מגרפון לגוגרה: התפתחות של גורם איום

Harvester הגיעה לראשונה לתשומת לב הציבור בסוף 2021, כאשר היא נקשרה לקמפיין גניבת מידע שפנה למגזרי התקשורת, הממשל וה-IT בדרום אסיה. במהלך שלב זה, הקבוצה פרסה שתל מותאם אישית בשם Graphon, אשר גם השתמש ב-Microsoft Graph API לתקשורת C2.

באוגוסט 2024, פעילות נוספת קישרה את הקבוצה למבצע נגד ארגון תקשורת באזור. מבצע זה הציג את GoGra , דלת אחורית מבוססת Go שלא נראתה קודם לכן. ממצאים אחרונים מאשרים כי Harvester הרחיבה יכולת זו מעבר לסביבות Windows, וכעת פורסת גרסה ספציפית ללינוקס של אותה משפחת תוכנות זדוניות.

כניסה מטעה: הנדסה חברתית וטקטיקות ביצוע

ההדבקה הראשונית מסתמכת במידה רבה על טכניקות הנדסה חברתית. הקורבנות עוברים מניפולציה לפתוח קבצי ELF בינאריים במסווה של מסמכי PDF. לאחר הביצוע, המכשיר מציג מסמך פיתיון כדי לשמור על אשליית הלגיטימיות תוך פריסה שקטה של הדלת האחורית ברקע.

זרימת עבודה של פיקוד ובקרה: דיוק והתמדה

גרסת הלינוקס של GoGra משקפת את מקבילתה של Windows מבחינת לוגיקת התקשורת וזרימת התפעול. היא מקיימת אינטראקציה עם תיקיית תיבת דואר ייעודית של Outlook שכותרתה 'Zomato Pizza', וסורקת אותה כל שתי שניות באמצעות שאילתות Open Data Protocol (OData). התוכנה הזדונית מנטרת הודעות נכנסות ומעבדת רק את אלו שעומדות בקריטריונים ספציפיים:

  • הודעות דוא"ל עם נושא המתחיל ב-'Input' מזוהות כהוראות למשימה
  • גוף ההודעה מפוענח לפי Base64 ומבוצע כפקודות מעטפת דרך /bin/bash
  • תוצאות הביצוע מסוננות דרך תגובות דוא"ל עם הנושא 'פלט'
  • הודעות דוא"ל מקוריות של משימות נמחקות לאחר הביצוע כדי למנוע עקבות פורנזיות

טביעות אצבע עקביות לפיתוח על פני פלטפורמות שונות

למרות הבדלים במערכות ההפעלה ובשיטות הפריסה, ארכיטקטורת C2 הבסיסית נותרה עקבית בין גרסאות Windows ו-Linux. חוקרים הבחינו גם בשגיאות כתיב זהות בשתי הגרסאות, דבר המצביע באופן חזק על מפתח או צוות פיתוח משותף מאחורי הכלים.

השלכות אסטרטגיות: הרחבת משטח ההתקפה

הצגת דלת אחורית מבוססת לינוקס מדגישה את מאמציה המתמשכים של Harvester לגוון את יכולותיה ולהגדיל את הגמישות התפעולית. על ידי מיקוד במערכות הפעלה מרובות ומינוף שירותי ענן מהימנים, הקבוצה ממצבת את עצמה כדי לפגוע במגוון רחב יותר של סביבות תוך שמירה על פרופיל גילוי נמוך.

התפתחות זו מדגישה את התחכום הגובר של גורמי איום מודרניים ואת הצורך בהגנות סייבר אדפטיביות ומבוססות התנהגות.

מגמות

הכי נצפה

טוען...