GoGra Linux Backdoor

हार्वेस्टर भनेर चिनिने खतरा अभिनेतालाई यसको GoGra ब्याकडोरको नयाँ पहिचान गरिएको लिनक्स संस्करणसँग जोडिएको छ, जसले यसको साइबर-जासूसी कार्यहरूको निरन्तर विस्तारको संकेत गर्दछ। यी आक्रमणहरू मुख्यतया दक्षिण एसियाभरिका संस्थाहरूलाई लक्षित गर्ने विश्वास गरिन्छ, जसमा फोरेन्सिक प्रमाणहरूले भारत र अफगानिस्तानबाट हुने गतिविधिलाई औंल्याउँछन्। यसले यी क्षेत्रहरू भित्रका संस्थाहरूलाई लक्षित गरी केन्द्रित गुप्तचर-संकलन अभियानलाई सुझाव दिन्छ।

विश्वसनीय च्यानलहरू मार्फत चोरी: क्लाउड पूर्वाधारको दुरुपयोग

यस अभियानको एक परिभाषित विशेषता भनेको गोप्य सञ्चारको लागि वैध क्लाउड सेवाहरूको दुरुपयोग हो। मालवेयरले आउटलुक मेलबक्सहरूसँगै माइक्रोसफ्ट ग्राफ एपीआईलाई लुकाइएको कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानलको रूपमा प्रयोग गर्दछ। विश्वसनीय प्लेटफर्महरू भित्र दुर्भावनापूर्ण सञ्चारहरू एम्बेड गरेर, आक्रमणकारीहरूले परम्परागत परिधि प्रतिरक्षाहरूलाई प्रभावकारी रूपमा बाइपास गर्छन्, जसले गर्दा पत्ता लगाउने कार्य उल्लेखनीय रूपमा चुनौतीपूर्ण हुन्छ।

ग्राफनबाट गोग्रासम्म: एक खतरा अभिनेताको विकास

हार्वेस्टर पहिलो पटक २०२१ को अन्त्यतिर सार्वजनिक रूपमा चर्चामा आएको थियो, जब यो दक्षिण एसियामा दूरसञ्चार, सरकार र आईटी क्षेत्रहरूलाई लक्षित गर्दै सूचना चोरी अभियानसँग सम्बन्धित थियो। त्यस चरणमा, समूहले ग्राफन भनेर चिनिने कस्टम इम्प्लान्ट तैनाथ गर्‍यो, जसले C2 सञ्चारको लागि माइक्रोसफ्ट ग्राफ एपीआई पनि प्रयोग गर्‍यो।

अगस्ट २०२४ मा, थप गतिविधिले समूहलाई यस क्षेत्रको मिडिया संगठन विरुद्धको अपरेशनमा बाँध्यो। यो अपरेशनले GoGra लाई परिचय गरायो, जुन पहिले नदेखिएको Go-आधारित ब्याकडोर थियो। हालैका खोजहरूले पुष्टि गर्दछ कि हार्वेस्टरले यो क्षमतालाई विन्डोज वातावरणभन्दा बाहिर विस्तार गरेको छ, अब उही मालवेयर परिवारको लिनक्स-विशिष्ट संस्करण तैनाथ गर्दै।

भ्रामक प्रविष्टि: सामाजिक इन्जिनियरिङ र कार्यान्वयन रणनीतिहरू

प्रारम्भिक संक्रमण सामाजिक इन्जिनियरिङ प्रविधिहरूमा धेरै निर्भर गर्दछ। पीडितहरूलाई PDF कागजातहरूको भेषमा ELF बाइनरीहरू खोल्न हेरफेर गरिन्छ। एक पटक कार्यान्वयन भएपछि, ड्रपरले पृष्ठभूमिमा पछाडिको ढोका चुपचाप तैनाथ गर्दै वैधताको भ्रम कायम राख्न एक नक्कली कागजात प्रदर्शन गर्दछ।

आदेश-र-नियन्त्रण कार्यप्रवाह: परिशुद्धता र दृढता

GoGra को लिनक्स संस्करणले सञ्चार तर्क र सञ्चालन प्रवाहको सन्दर्भमा यसको विन्डोज समकक्षलाई प्रतिबिम्बित गर्दछ। यसले 'Zomato Pizza' लेबल गरिएको तोकिएको आउटलुक मेलबक्स फोल्डरसँग अन्तर्क्रिया गर्दछ, प्रत्येक दुई सेकेन्डमा यसलाई ओपन डाटा प्रोटोकल (OData) क्वेरीहरू मार्फत पोल गर्दछ। मालवेयरले आगमन सन्देशहरूको निगरानी गर्दछ र विशिष्ट मापदण्ड पूरा गर्नेहरूलाई मात्र प्रशोधन गर्दछ:

• 'इनपुट' बाट सुरु हुने विषय पङ्क्तिहरू भएका इमेलहरूलाई कार्य निर्देशनको रूपमा पहिचान गरिन्छ।
• सन्देशको मुख्य भाग Base64-डिकोड गरिएको छ र /bin/bash मार्फत शेल आदेशहरूको रूपमा कार्यान्वयन गरिन्छ।

• कार्यान्वयन परिणामहरू 'आउटपुट' विषय भएको इमेल प्रतिक्रियाहरू मार्फत प्रदर्शित हुन्छन्।

• फोरेन्सिक ट्रेसहरू हटाउन कार्यान्वयन पछि मूल टास्किङ इमेलहरू मेटाइन्छ।

प्लेटफर्महरूमा निरन्तर विकास फिंगरप्रिन्टहरू

अपरेटिङ सिस्टम र डिप्लोयमेन्ट विधिहरूमा भिन्नता भए तापनि, अन्तर्निहित C2 वास्तुकला विन्डोज र लिनक्स संस्करणहरू बीच एकरूप रहन्छ। अनुसन्धानकर्ताहरूले दुवै भेरियन्टहरूमा समान हार्ड-कोड गरिएका हिज्जे त्रुटिहरू पनि अवलोकन गरेका छन्, जसले उपकरणहरू पछाडि साझा विकासकर्ता वा विकास टोली रहेको दृढतापूर्वक संकेत गर्दछ।

रणनीतिक प्रभावहरू: आक्रमणको सतहलाई फराकिलो बनाउने

लिनक्स-आधारित ब्याकडोरको परिचयले हार्वेस्टरको क्षमताहरू विविधीकरण गर्न र सञ्चालन लचिलोपन बढाउने निरन्तर प्रयासहरूलाई प्रकाश पार्छ। धेरै अपरेटिङ सिस्टमहरूलाई लक्षित गरेर र विश्वसनीय क्लाउड सेवाहरूको लाभ उठाएर, समूहले कम पत्ता लगाउने प्रोफाइल कायम राख्दै वातावरणको फराकिलो दायरालाई सम्झौता गर्न आफूलाई स्थितिमा राखिरहेको छ।

यो विकासले आधुनिक खतरा कारकहरूको बढ्दो परिष्कार र अनुकूलनीय, व्यवहार-आधारित साइबर सुरक्षा प्रतिरक्षाको आवश्यकतालाई जोड दिन्छ।