GoGra Linux hátsó ajtó
A Harvester néven ismert fenyegetést egy újonnan azonosított Linux-variánssal hozták összefüggésbe a GoGra hátsó ajtójával, ami a kiberkémkedési műveletek folyamatos terjeszkedését jelzi. Úgy vélik, hogy ezek a támadások elsősorban Dél-Ázsia-szerte működő szervezeteket céloznak meg, a törvényszéki bizonyítékok Indiából és Afganisztánból származó tevékenységekre utalnak. Ez egy célzott hírszerzési kampányra utal, amely ezekben a régiókban működő szervezeteket célzott meg.
Tartalomjegyzék
Lopakodás megbízható csatornákon keresztül: A felhőinfrastruktúra visszaélése
A kampány meghatározó jellemzője a legitim felhőszolgáltatások titkos kommunikáció céljából történő visszaélése. A rosszindulatú program a Microsoft Graph API-t és az Outlook postafiókokat használja rejtett parancs- és vezérlő (C2) csatornaként. A rosszindulatú kommunikáció megbízható platformokba ágyazásával a támadók hatékonyan megkerülik a hagyományos peremvédelmet, ami jelentősen megnehezíti a felderítést.
A Graphontól a GoGráig: Egy fenyegető szereplő evolúciója
A Harvester először 2021 végén került a nyilvánosság figyelmébe, amikor egy dél-ázsiai telekommunikációs, kormányzati és informatikai szektort célzó információlopási kampánnyal hozták összefüggésbe. Ebben a fázisban a csoport egy Graphon nevű egyedi implantátumot telepített, amely a Microsoft Graph API-t is használta a C2 kommunikációhoz.
2024 augusztusában további tevékenységek kötötték a csoportot egy, a régióban működő médiaszervezet elleni művelethez. A művelet során bevezették a GoGrát , egy korábban nem látott Go-alapú hátsó ajtót. A legújabb eredmények megerősítik, hogy a Harvester kiterjesztette ezt a képességet a Windows környezeteken túlra is, most ugyanazon kártevőcsalád Linux-specifikus változatát telepítve.
Megtévesztő belépés: Szociális manipuláció és végrehajtási taktikák
A kezdeti fertőzés nagymértékben a szociális manipuláció technikáira épül. Az áldozatokat manipulálják, hogy PDF dokumentumoknak álcázott ELF binárisokat nyissanak meg. A végrehajtás után a dropper egy álcadokumentumot jelenít meg a legitimitás illúziójának fenntartása érdekében, miközben csendben kinyitja a hátsó ajtót a háttérben.
Parancsnoki és irányítási munkafolyamat: Pontosság és kitartás
A GoGra Linux-változata kommunikációs logika és működési folyamat tekintetében tükrözi Windows-os megfelelőjét. Egy kijelölt, „Zomato Pizza” nevű Outlook postafiók mappával kommunikál, és két másodpercenként lekérdezi azt Open Data Protocol (OData) lekérdezéseken keresztül. A rosszindulatú program figyeli a bejövő üzeneteket, és csak azokat dolgozza fel, amelyek megfelelnek bizonyos kritériumoknak:
- Az „Input” kezdetű tárgysorral rendelkező e-maileket feladatkezelési utasításként azonosítjuk.
- Az üzenet törzse Base64 dekódolású és shell parancsokként fut a /bin/bash könyvtáron keresztül.
- A végrehajtás eredményeit e-mail válaszok formájában, „Kimenet” tárggyal kinyerjük.
- Az eredeti feladatokat tartalmazó e-maileket a végrehajtás után töröljük a nyomkövetési adatok kiküszöbölése érdekében.
Konzisztens fejlesztési ujjlenyomatok a platformok között
Az operációs rendszerek és a telepítési módszerek közötti különbségek ellenére az alapul szolgáló C2 architektúra a Windows és a Linux verziók között is egységes marad. A kutatók mindkét változatban azonos, fixen kódolt helyesírási hibákat is megfigyeltek, ami erősen arra utal, hogy az eszközök mögött közös fejlesztő vagy fejlesztőcsapat állt.
Stratégiai következmények: A támadási felület szélesítése
A Linux-alapú hátsó ajtó bevezetése jól mutatja a Harvester folyamatos erőfeszítéseit a képességeinek diverzifikálása és a működési rugalmasság növelése érdekében. Több operációs rendszer célba vételével és megbízható felhőszolgáltatások kihasználásával a csoport arra pozicionálja magát, hogy szélesebb körű környezeteket támadjon meg, miközben alacsony észlelési profilt tart fenn.
Ez a fejlődés rávilágít a modern fenyegetési szereplők egyre kifinomultabb működésére és az adaptív, viselkedésalapú kiberbiztonsági védelem szükségességére.
