GoGra Linux बैकडोर
हार्वेस्टर नामक साइबर हमलावर समूह का संबंध उसके गोग्रा बैकडोर के एक नए पहचाने गए लिनक्स संस्करण से जोड़ा गया है, जो उसके साइबर जासूसी अभियानों के निरंतर विस्तार का संकेत देता है। माना जाता है कि ये हमले मुख्य रूप से दक्षिण एशिया के संगठनों को निशाना बनाते हैं, और फोरेंसिक साक्ष्य भारत और अफगानिस्तान से गतिविधि की ओर इशारा करते हैं। इससे पता चलता है कि इन क्षेत्रों में स्थित संगठनों को लक्षित करके खुफिया जानकारी जुटाने का एक सुनियोजित अभियान चलाया जा रहा है।
विषयसूची
विश्वसनीय चैनलों के माध्यम से गुप्त रूप से घुसपैठ: क्लाउड इन्फ्रास्ट्रक्चर का दुरुपयोग
इस अभियान की एक प्रमुख विशेषता वैध क्लाउड सेवाओं का दुरुपयोग करके गुप्त संचार करना है। मैलवेयर माइक्रोसॉफ्ट ग्राफ एपीआई और आउटलुक मेलबॉक्स का उपयोग एक गुप्त कमांड-एंड-कंट्रोल (सी2) चैनल के रूप में करता है। विश्वसनीय प्लेटफॉर्म में दुर्भावनापूर्ण संचार को एम्बेड करके, हमलावर पारंपरिक सुरक्षा प्रणालियों को प्रभावी ढंग से दरकिनार कर देते हैं, जिससे इसका पता लगाना काफी मुश्किल हो जाता है।
ग्राफॉन से गोग्रा तक: एक खतरा पैदा करने वाले संगठन का विकास
हार्वेस्टर पहली बार 2021 के अंत में तब सुर्खियों में आया, जब दक्षिण एशिया में दूरसंचार, सरकारी और आईटी क्षेत्रों को निशाना बनाकर सूचना चोरी करने के अभियान में इसका नाम सामने आया। उस दौरान, समूह ने ग्राफॉन नामक एक विशेष इम्प्लांट तैनात किया, जिसने C2 संचार के लिए माइक्रोसॉफ्ट ग्राफ एपीआई का भी उपयोग किया।
अगस्त 2024 में, आगे की गतिविधियों ने इस समूह को क्षेत्र में एक मीडिया संगठन के खिलाफ चलाए गए अभियान से जोड़ा। इस अभियान में GoGra नामक एक पहले कभी न देखा गया Go-आधारित बैकडोर शामिल था। हालिया खोजों से पुष्टि होती है कि हार्वेस्टर ने इस क्षमता को विंडोज वातावरण से आगे बढ़ाकर अब इसी मैलवेयर परिवार के लिनक्स-विशिष्ट संस्करण को भी तैनात कर दिया है।
धोखे से प्रवेश: सामाजिक इंजीनियरिंग और क्रियान्वयन की रणनीतियाँ
प्रारंभिक संक्रमण काफी हद तक सोशल इंजीनियरिंग तकनीकों पर निर्भर करता है। पीड़ितों को पीडीएफ दस्तावेज़ों के रूप में छिपे हुए ईएलएफ बाइनरी फ़ाइलों को खोलने के लिए बरगलाया जाता है। एक बार निष्पादित होने पर, ड्रॉपर वैधता का भ्रम बनाए रखने के लिए एक नकली दस्तावेज़ प्रदर्शित करता है, जबकि पृष्ठभूमि में चुपचाप बैकडोर सक्रिय हो जाता है।
कमांड-एंड-कंट्रोल वर्कफ़्लो: परिशुद्धता और निरंतरता
GoGra का लिनक्स संस्करण संचार तर्क और परिचालन प्रवाह के मामले में अपने विंडोज संस्करण के समान है। यह 'ज़ोमैटो पिज़्ज़ा' नामक एक निर्दिष्ट आउटलुक मेलबॉक्स फ़ोल्डर के साथ इंटरैक्ट करता है और ओपन डेटा प्रोटोकॉल (OData) क्वेरी के माध्यम से हर दो सेकंड में इसकी जाँच करता है। मैलवेयर आने वाले संदेशों की निगरानी करता है और केवल उन्हीं संदेशों को संसाधित करता है जो विशिष्ट मानदंडों को पूरा करते हैं।
- 'इनपुट' से शुरू होने वाली विषय पंक्तियों वाले ईमेल को कार्य निर्देश के रूप में पहचाना जाता है।
सभी प्लेटफार्मों पर एक समान विकास फिंगरप्रिंट
ऑपरेटिंग सिस्टम और तैनाती विधियों में अंतर के बावजूद, विंडोज और लिनक्स संस्करणों में अंतर्निहित C2 आर्किटेक्चर एक समान रहता है। शोधकर्ताओं ने दोनों संस्करणों में एक जैसी हार्ड-कोडेड वर्तनी त्रुटियां भी देखी हैं, जो स्पष्ट रूप से इंगित करती हैं कि इन टूल्स के पीछे एक ही डेवलपर या विकास टीम है।
रणनीतिक निहितार्थ: आक्रमण क्षेत्र का विस्तार
लिनक्स-आधारित बैकडोर की शुरुआत हार्वेस्टर द्वारा अपनी क्षमताओं में विविधता लाने और परिचालन लचीलापन बढ़ाने के निरंतर प्रयासों को उजागर करती है। कई ऑपरेटिंग सिस्टमों को लक्षित करके और विश्वसनीय क्लाउड सेवाओं का लाभ उठाकर, समूह कम पहचान बनाए रखते हुए व्यापक स्तर पर वातावरणों को प्रभावित करने की स्थिति में है।
यह विकास आधुनिक खतरों के बढ़ते जालसाजपन और व्यवहार-आधारित साइबर सुरक्षा उपायों की आवश्यकता को रेखांकित करता है।
