GoGra Linux aizmugures durvis
Draudu izpildītājs, kas pazīstams kā Harvester, ir saistīts ar nesen identificētu tā GoGra aizmugurējās durvis Linux variantu, kas signalizē par tā kiberizlūkošanas operāciju pastāvīgu paplašināšanos. Tiek uzskatīts, ka šie uzbrukumi galvenokārt ir vērsti pret organizācijām visā Dienvidāzijā, un tiesu medicīnas pierādījumi liecina par aktivitātēm, kuru izcelsme ir Indijā un Afganistānā. Tas liecina par mērķtiecīgu izlūkdienestu vākšanas kampaņu, kas vērsta pret organizācijām šajos reģionos.
Satura rādītājs
Slepenība, izmantojot uzticamus kanālus: mākoņinfrastruktūras ļaunprātīga izmantošana
Šīs kampaņas raksturīga iezīme ir likumīgu mākoņpakalpojumu ļaunprātīga izmantošana slepenai saziņai. Ļaunprogrammatūra izmanto Microsoft Graph API kopā ar Outlook pastkastēm kā slēptu vadības un kontroles (C2) kanālu. Iekļaujot ļaunprātīgu saziņu uzticamās platformās, uzbrucēji efektīvi apiet tradicionālās perimetra aizsardzības, ievērojami apgrūtinot atklāšanu.
No Graphon līdz GoGra: Draudu aktiera evolūcija
Harvester pirmo reizi nonāca sabiedrības uzmanības lokā 2021. gada beigās, kad tas tika saistīts ar informācijas zādzības kampaņu, kuras mērķis bija telekomunikāciju, valdības un IT sektori Dienvidāzijā. Šajā posmā grupa ieviesa pielāgotu implantu ar nosaukumu Graphon, kas C2 komunikācijai izmantoja arī Microsoft Graph API.
2024. gada augustā turpmāka aktivitāte saistīja grupu ar operāciju pret kādu mediju organizāciju reģionā. Šīs operācijas laikā tika ieviesta GoGra — iepriekš neredzēta Go bāzes aizmugurējā durvju sistēma. Jaunākie atklājumi apstiprina, ka Harvester ir paplašinājis šīs iespējas ārpus Windows vidēm, tagad ieviešot tās pašas ļaunprogrammatūras saimes Linux paredzētu variantu.
Maldinoša iekļūšana: sociālā inženierija un izpildes taktika
Sākotnējā inficēšana lielā mērā balstās uz sociālās inženierijas metodēm. Upurus manipulē, lai tie atvērtu ELF bināros failus, kas maskēti kā PDF dokumenti. Pēc palaišanas droppers parāda māndokumentu, lai saglabātu leģitimitātes ilūziju, vienlaikus fonā klusībā atverot aizmugurējās durvis.
Komandvadības un kontroles darbplūsma: precizitāte un neatlaidība
GoGra Linux versija saziņas loģikas un darbības plūsmas ziņā atspoguļo tās Windows versiju. Tā mijiedarbojas ar noteiktu Outlook pastkastes mapi ar nosaukumu “Zomato Pizza”, ik pēc divām sekundēm to aptaujājot, izmantojot atvērtā datu protokola (OData) vaicājumus. Ļaunprogrammatūra uzrauga ienākošos ziņojumus un apstrādā tikai tos, kas atbilst noteiktiem kritērijiem:
- E-pasti, kuru tēmas rindas sākas ar “Ievade”, tiek identificēti kā uzdevumu norādījumi.
- Ziņojuma pamatteksts tiek dekodēts ar Base64 un izpildīts kā čaulas komandas, izmantojot /bin/bash.
- Izpildes rezultāti tiek izvadīti, izmantojot e-pasta atbildes ar tēmu “Output” (Izvade).
- Sākotnējie uzdevumu e-pasti tiek dzēsti pēc izpildes, lai novērstu kriminālistisko pēdu izzušanu
Vienveidīgi izstrādes pirkstu nospiedumi dažādās platformās
Neskatoties uz operētājsistēmu un izvietošanas metožu atšķirībām, pamatā esošā C2 arhitektūra Windows un Linux versijās saglabājas nemainīga. Pētnieki ir novērojuši arī identiskas iekodētas pareizrakstības kļūdas abos variantos, kas skaidri norāda uz kopīgu izstrādātāju vai izstrādes komandu, kas izstrādāja šos rīkus.
Stratēģiskās sekas: uzbrukuma virsmas paplašināšana
Linux bāzes aizmugurējās durvis ieviešana uzsver Harvester pastāvīgos centienus dažādot savas iespējas un palielināt darbības elastību. Orientējoties uz vairākām operētājsistēmām un izmantojot uzticamus mākoņpakalpojumus, grupa pozicionē sevi, lai apdraudētu plašāku vides klāstu, vienlaikus saglabājot zemu atklāšanas profilu.
Šī evolūcija uzsver mūsdienu apdraudējumu dalībnieku pieaugošo izsmalcinātību un nepieciešamību pēc adaptīvas, uz uzvedību balstītas kiberdrošības aizsardzības.
