Ponuda s popustom na više licenci
Baza prijetnji Linux zlonamjerni softver GoGra Linux Backdoor

GoGra Linux Backdoor

Do Mezo. Linux zlonamjerni softver, Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Prijetnja poznata kao Harvester povezana je s novootkrivenom Linux varijantom svog GoGra backdoora, što signalizira kontinuirano širenje njegovih operacija kibernetičke špijunaže. Vjeruje se da su ovi napadi prvenstveno usmjereni na subjekte diljem Južne Azije, a forenzički dokazi upućuju na aktivnosti koje potječu iz Indije i Afganistana. To sugerira usmjerenu kampanju prikupljanja obavještajnih podataka usmjerenu na organizacije unutar tih regija.

Prikrivenost kroz pouzdane kanale: Zloupotreba infrastrukture u oblaku

Karakteristična karakteristika ove kampanje je zlouporaba legitimnih usluga u oblaku za prikrivenu komunikaciju. Zlonamjerni softver koristi Microsoft Graph API uz Outlook poštanske sandučiće kao skriveni kanal za upravljanje i kontrolu (C2). Ugrađivanjem zlonamjerne komunikacije unutar pouzdanih platformi, napadači učinkovito zaobilaze tradicionalne perimetralne obrane, što otkrivanje čini znatno težim.

Od Graphona do GoGre: Evolucija aktera prijetnje

Harvester je prvi put privukao pozornost javnosti krajem 2021. godine, kada je povezan s kampanjom krađe informacija usmjerenom na telekomunikacijski, vladin i IT sektor u Južnoj Aziji. Tijekom te faze, grupa je implementirala prilagođeni implantat poznat kao Graphon, koji je također koristio Microsoft Graph API za C2 komunikaciju.

U kolovozu 2024., daljnje aktivnosti povezale su grupu s operacijom protiv medijske organizacije u regiji. U ovoj operaciji predstavljen je GoGra , prethodno neviđeni backdoor temeljen na Gou. Nedavna otkrića potvrđuju da je Harvester proširio ovu mogućnost izvan Windows okruženja, sada implementirajući Linux specifičnu varijantu iste obitelji zlonamjernog softvera.

Obmanjujući ulazak: Društveni inženjering i taktike izvršenja

Početna infekcija uvelike se oslanja na tehnike socijalnog inženjeringa. Žrtve se manipulira da otvore ELF binarne datoteke prerušene u PDF dokumente. Nakon izvršenja, program za ubacivanje prikazuje lažni dokument kako bi održao iluziju legitimnosti, dok tiho aktivira stražnja vrata u pozadini.

Tijek rada zapovijedanja i upravljanja: Preciznost i upornost

Linux varijanta GoGre odražava svoju Windows verziju u smislu komunikacijske logike i operativnog toka. Interagira s određenom mapom Outlook poštanskog sandučića pod nazivom 'Zomato Pizza', ispitujući je svake dvije sekunde putem upita Open Data Protocol (OData). Zlonamjerni softver prati dolazne poruke i obrađuje samo one koje zadovoljavaju određene kriterije:

  • E-poruke s naslovima koji počinju s 'Unos' identificiraju se kao upute za zadatak
  • Tijelo poruke je dekodirano Base64-om i izvršava se kao shell naredbe putem /bin/bash
  • Rezultati izvršenja šalju se putem odgovora e-poštom s naslovom 'Izlaz'
  • Izvorne e-poruke sa zadacima brišu se nakon izvršenja kako bi se uklonili forenzički tragovi

    • Dosljedni razvojni otisci prstiju na svim platformama

    Unatoč razlikama u operativnim sustavima i metodama implementacije, temeljna C2 arhitektura ostaje dosljedna između verzija za Windows i Linux. Istraživači su također primijetili identične pravopisne pogreške u kodu u obje varijante, što snažno ukazuje na zajedničkog programera ili razvojni tim koji stoji iza alata.

    Strateške implikacije: Proširenje površine napada

    Uvođenje Linux backdoora naglašava Harvesterove kontinuirane napore za diverzifikaciju svojih mogućnosti i povećanje operativne fleksibilnosti. Ciljanjem više operativnih sustava i korištenjem pouzdanih usluga u oblaku, grupa se pozicionira za kompromitiranje šireg raspona okruženja uz održavanje niskog profila detekcije.

    Ova evolucija naglašava rastuću sofisticiranost modernih aktera prijetnji i potrebu za adaptivnom, na ponašanju temeljenom kibernetičkom obranom.

    U trendu

    Nagledanije

    Učitavam...