„GoGra Linux“ galinės durys
Grėsmių veikėjas, žinomas kaip „Harvester“, buvo susietas su naujai identifikuota „GoGra“ galinių durų „Linux“ versija, o tai rodo tolesnę kibernetinio šnipinėjimo operacijų plėtrą. Manoma, kad šios atakos daugiausia nukreiptos į subjektus visoje Pietų Azijoje, o teismo ekspertizės įrodymai rodo, kad veikla vykdoma Indijoje ir Afganistane. Tai rodo tikslinę žvalgybos rinkimo kampaniją, nukreiptą prieš organizacijas šiuose regionuose.
Turinys
Slaptas veikimas per patikimus kanalus: debesijos infrastruktūros piktnaudžiavimas
Šios kampanijos išskirtinis bruožas – teisėtų debesijos paslaugų naudojimas slaptam bendravimui. Kenkėjiška programa naudoja „Microsoft Graph API“ kartu su „Outlook“ pašto dėžutėmis kaip paslėptą komandų ir kontrolės (C2) kanalą. Įterpdami kenkėjišką ryšį patikimose platformose, užpuolikai efektyviai apeina tradicinę perimetro apsaugą, todėl aptikimas tampa gerokai sudėtingesnis.
Nuo „Graphon“ iki „GoGra“: grėsmės veikėjo evoliucija
„Harvester“ pirmą kartą patraukė visuomenės dėmesį 2021 m. pabaigoje, kai buvo siejamas su informacijos vagystės kampanija, nukreipta prieš telekomunikacijų, valdžios ir IT sektorius Pietų Azijoje. Tuo metu grupė įdiegė specialiai sukurtą implantą, vadinamą „Graphon“, kuris taip pat naudojo „Microsoft Graph API“ C2 komunikacijai.
2024 m. rugpjūtį tolesnė veikla susiejo grupę su operacija prieš žiniasklaidos organizaciją regione. Šios operacijos metu buvo pristatyta „GoGra“ – anksčiau nematyta „Go“ pagrindu sukurta galinė durų sistema. Naujausi duomenys patvirtina, kad „Harvester“ išplėtė šią galimybę už „Windows“ aplinkų ribų, dabar diegdama specialiai „Linux“ skirtą tos pačios kenkėjiškų programų šeimos variantą.
Apgaulingas įėjimas: socialinė inžinerija ir vykdymo taktika
Pradinis užkrėtimas labai priklauso nuo socialinės inžinerijos metodų. Aukos manipuliuojamos, kad atidarytų ELF dvejetainius failus, užmaskuotus kaip PDF dokumentai. Paleidus programą, programa rodo masalų dokumentą, kad išlaikytų teisėtumo iliuziją, tuo pačiu tyliai fone atidarydama galines duris.
Komandų ir kontrolės darbo eiga: tikslumas ir atkaklumas
„Linux“ versija „GoGra“ savo komunikacijos logika ir operaciniu srautu atkartoja „Windows“ versiją. Ji sąveikauja su paskirtu „Outlook“ pašto dėžutės aplanku, pavadintu „Zomato Pizza“, kas dvi sekundes jį apklausdama naudodama atvirojo duomenų protokolo (OData) užklausas. Kenkėjiška programa stebi gaunamus pranešimus ir apdoroja tik tuos, kurie atitinka konkrečius kriterijus:
- El. laiškai, kurių temos eilutės prasideda „Įvestis“, identifikuojami kaip užduočių instrukcijos
Nuoseklus kūrimo pirštų atspaudas skirtingose platformose
Nepaisant operacinių sistemų ir diegimo metodų skirtumų, pagrindinė C2 architektūra išlieka ta pati „Windows“ ir „Linux“ versijose. Tyrėjai taip pat pastebėjo identiškas užkoduotas rašybos klaidas abiejuose variantuose, o tai aiškiai rodo, kad įrankius kūrė bendras kūrėjas arba kūrimo komanda.
Strateginės pasekmės: atakos paviršiaus išplėtimas
„Linux“ pagrindu sukurtos „backdoor“ sistemos įdiegimas pabrėžia nuolatines „Harvester“ pastangas įvairinti savo galimybes ir didinti veiklos lankstumą. Taikydama taikinius į kelias operacines sistemas ir naudodamasi patikimomis debesijos paslaugomis, grupė pozicionuoja save taip, kad galėtų įsilaužti į platesnį aplinkų spektrą, išlaikydama žemą aptikimo profilį.
Ši evoliucija pabrėžia augantį šiuolaikinių grėsmių veikėjų sudėtingumą ir prisitaikančios, elgesiu pagrįstos kibernetinio saugumo apsaugos poreikį.
