Preventivo sconto multi-licenza
Database delle minacce Malware Linux Backdoor GoGra per Linux

Backdoor GoGra per Linux

Entro Mezo nel Malware Linux, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

Il gruppo di hacker noto come Harvester è stato collegato a una variante Linux recentemente identificata della sua backdoor GoGra, segnalando una continua espansione delle sue operazioni di spionaggio informatico. Si ritiene che questi attacchi prendano di mira principalmente entità in Asia meridionale, con prove forensi che indicano attività provenienti da India e Afghanistan. Ciò suggerisce una campagna mirata di raccolta di informazioni rivolta a organizzazioni in queste regioni.

Infiltrazione tramite canali affidabili: abuso dell’infrastruttura cloud

Una caratteristica distintiva di questa campagna è l'abuso di servizi cloud legittimi per comunicazioni occulte. Il malware sfrutta l'API Microsoft Graph insieme alle caselle di posta Outlook come canale di comando e controllo (C2) nascosto. Incorporando comunicazioni dannose all'interno di piattaforme affidabili, gli aggressori aggirano efficacemente le tradizionali difese perimetrali, rendendo il rilevamento significativamente più difficile.

Da Graphon a GoGra: l’evoluzione di un attore della minaccia

Harvester è salito alla ribalta alla fine del 2021, quando è stato associato a una campagna di furto di informazioni mirata ai settori delle telecomunicazioni, governativo e informatico nell'Asia meridionale. Durante quella fase, il gruppo ha implementato un malware personalizzato noto come Graphon, che utilizzava anche l'API Microsoft Graph per la comunicazione con il centro di comando e controllo (C2).

Nell'agosto del 2024, ulteriori attività hanno collegato il gruppo a un'operazione contro un'organizzazione mediatica nella regione. Questa operazione ha introdotto GoGra , una backdoor basata su Go mai vista prima. Recenti scoperte confermano che Harvester ha esteso questa capacità oltre gli ambienti Windows, implementando ora una variante specifica per Linux della stessa famiglia di malware.

Ingresso ingannevole: ingegneria sociale e tattiche di esecuzione

L'infezione iniziale si basa in gran parte su tecniche di ingegneria sociale. Le vittime vengono manipolate e indotte ad aprire file binari ELF camuffati da documenti PDF. Una volta eseguito, il dropper visualizza un documento esca per mantenere l'illusione di legittimità, mentre in background installa silenziosamente la backdoor.

Flusso di lavoro di comando e controllo: precisione e persistenza

La variante Linux di GoGra rispecchia la sua controparte Windows in termini di logica di comunicazione e flusso operativo. Interagisce con una cartella di posta Outlook designata denominata "Zomato Pizza", interrogandola ogni due secondi tramite query OData (Open Data Protocol). Il malware monitora i messaggi in arrivo ed elabora solo quelli che soddisfano specifici criteri:

  • Le email con oggetto che inizia con "Input" vengono identificate come istruzioni per l'esecuzione di un'attività.
  • Il corpo del messaggio viene decodificato in Base64 ed eseguito come comandi di shell tramite /bin/bash
  • I risultati dell'esecuzione vengono esfiltrati tramite risposte e-mail con oggetto 'Output'
  • Le email di assegnazione originali del compito vengono eliminate dopo l'esecuzione per eliminare tracce forensi.

Impronte di sviluppo coerenti su diverse piattaforme

Nonostante le differenze nei sistemi operativi e nei metodi di implementazione, l'architettura C2 di base rimane coerente tra le versioni per Windows e Linux. I ricercatori hanno inoltre riscontrato errori di ortografia identici, codificati in modo rigido, in entrambe le varianti, il che indica fortemente la presenza di uno stesso sviluppatore o team di sviluppo dietro gli strumenti.

Implicazioni strategiche: ampliare la superficie di attacco

L'introduzione di una backdoor basata su Linux evidenzia gli sforzi continui di Harvester per diversificare le proprie capacità e aumentare la flessibilità operativa. Prendendo di mira più sistemi operativi e sfruttando servizi cloud affidabili, il gruppo si sta posizionando per compromettere una gamma più ampia di ambienti mantenendo al contempo un basso profilo di rilevamento.

Questa evoluzione sottolinea la crescente sofisticazione degli attori delle minacce moderne e la necessità di difese di cybersicurezza adattive e basate sul comportamento.

Tendenza

I più visti

Caricamento in corso...