GoGra Linux Backdoor
ਹਾਰਵੈਸਟਰ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਇਸਦੇ GoGra ਬੈਕਡੋਰ ਦੇ ਇੱਕ ਨਵੇਂ ਪਛਾਣੇ ਗਏ Linux ਰੂਪ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਇਸਦੇ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਦੇ ਨਿਰੰਤਰ ਵਿਸਥਾਰ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਹਮਲੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਏਸ਼ੀਆ ਭਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਗੇ, ਜਿਸਦੇ ਫੋਰੈਂਸਿਕ ਸਬੂਤ ਭਾਰਤ ਅਤੇ ਅਫਗਾਨਿਸਤਾਨ ਤੋਂ ਹੋਣ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇਹ ਇਹਨਾਂ ਖੇਤਰਾਂ ਦੇ ਅੰਦਰ ਸੰਗਠਨਾਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਕੇਂਦ੍ਰਿਤ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੀ ਮੁਹਿੰਮ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਭਰੋਸੇਯੋਗ ਚੈਨਲਾਂ ਰਾਹੀਂ ਚੋਰੀ-ਛਿਪੇ: ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਦੁਰਵਰਤੋਂ
ਇਸ ਮੁਹਿੰਮ ਦੀ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਗੁਪਤ ਸੰਚਾਰ ਲਈ ਜਾਇਜ਼ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਹੈ। ਮਾਲਵੇਅਰ ਆਉਟਲੁੱਕ ਮੇਲਬਾਕਸਾਂ ਦੇ ਨਾਲ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗ੍ਰਾਫ API ਨੂੰ ਇੱਕ ਗੁਪਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲ ਵਜੋਂ ਵਰਤਦਾ ਹੈ। ਭਰੋਸੇਯੋਗ ਪਲੇਟਫਾਰਮਾਂ ਦੇ ਅੰਦਰ ਖਤਰਨਾਕ ਸੰਚਾਰਾਂ ਨੂੰ ਏਮਬੈਡ ਕਰਕੇ, ਹਮਲਾਵਰ ਰਵਾਇਤੀ ਘੇਰੇ ਦੇ ਬਚਾਅ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਖੋਜ ਨੂੰ ਕਾਫ਼ੀ ਜ਼ਿਆਦਾ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਗ੍ਰਾਫਨ ਤੋਂ ਗੋਗਰਾ ਤੱਕ: ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਦਾ ਵਿਕਾਸ
ਹਾਰਵੈਸਟਰ ਪਹਿਲੀ ਵਾਰ 2021 ਦੇ ਅਖੀਰ ਵਿੱਚ ਲੋਕਾਂ ਦੇ ਧਿਆਨ ਵਿੱਚ ਆਇਆ, ਜਦੋਂ ਇਹ ਦੱਖਣੀ ਏਸ਼ੀਆ ਵਿੱਚ ਦੂਰਸੰਚਾਰ, ਸਰਕਾਰ ਅਤੇ ਆਈਟੀ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਜਾਣਕਾਰੀ ਚੋਰੀ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। ਉਸ ਪੜਾਅ ਦੌਰਾਨ, ਸਮੂਹ ਨੇ ਗ੍ਰਾਫੋਨ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਕਸਟਮ ਇਮਪਲਾਂਟ ਤਾਇਨਾਤ ਕੀਤਾ, ਜਿਸਨੇ C2 ਸੰਚਾਰ ਲਈ ਮਾਈਕ੍ਰੋਸਾਫਟ ਗ੍ਰਾਫ API ਦੀ ਵੀ ਵਰਤੋਂ ਕੀਤੀ।
ਅਗਸਤ 2024 ਵਿੱਚ, ਹੋਰ ਗਤੀਵਿਧੀ ਨੇ ਸਮੂਹ ਨੂੰ ਖੇਤਰ ਵਿੱਚ ਇੱਕ ਮੀਡੀਆ ਸੰਗਠਨ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਕਾਰਵਾਈ ਨਾਲ ਜੋੜ ਦਿੱਤਾ। ਇਸ ਕਾਰਵਾਈ ਨੇ GoGra ਨੂੰ ਪੇਸ਼ ਕੀਤਾ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਅਣਦੇਖਿਆ Go-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਸੀ। ਹਾਲੀਆ ਖੋਜਾਂ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀਆਂ ਹਨ ਕਿ ਹਾਰਵੈਸਟਰ ਨੇ ਇਸ ਸਮਰੱਥਾ ਨੂੰ ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣਾਂ ਤੋਂ ਪਰੇ ਵਧਾ ਦਿੱਤਾ ਹੈ, ਹੁਣ ਉਸੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦੇ ਇੱਕ ਲੀਨਕਸ-ਵਿਸ਼ੇਸ਼ ਰੂਪ ਨੂੰ ਤੈਨਾਤ ਕਰ ਰਿਹਾ ਹੈ।
ਧੋਖੇਬਾਜ਼ ਐਂਟਰੀ: ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਰਣਨੀਤੀਆਂ
ਸ਼ੁਰੂਆਤੀ ਇਨਫੈਕਸ਼ਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ PDF ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ELF ਬਾਈਨਰੀ ਖੋਲ੍ਹਣ ਲਈ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਲਾਗੂ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਡਰਾਪਰ ਇੱਕ ਨਕਲੀ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਜਾਇਜ਼ਤਾ ਦਾ ਭਰਮ ਬਣਾਈ ਰੱਖਿਆ ਜਾ ਸਕੇ ਅਤੇ ਚੁੱਪਚਾਪ ਪਿਛੋਕੜ ਵਿੱਚ ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਜਾ ਸਕੇ।
ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਵਰਕਫਲੋ: ਸ਼ੁੱਧਤਾ ਅਤੇ ਦ੍ਰਿੜਤਾ
ਗੋਗਰਾ ਦਾ ਲੀਨਕਸ ਵੇਰੀਐਂਟ ਸੰਚਾਰ ਤਰਕ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਪ੍ਰਵਾਹ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਇਸਦੇ ਵਿੰਡੋਜ਼ ਹਮਰੁਤਬਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਹ 'ਜ਼ੋਮੈਟੋ ਪੀਜ਼ਾ' ਲੇਬਲ ਵਾਲੇ ਇੱਕ ਮਨੋਨੀਤ ਆਉਟਲੁੱਕ ਮੇਲਬਾਕਸ ਫੋਲਡਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦਾ ਹੈ, ਓਪਨ ਡੇਟਾ ਪ੍ਰੋਟੋਕੋਲ (OData) ਪੁੱਛਗਿੱਛਾਂ ਰਾਹੀਂ ਹਰ ਦੋ ਸਕਿੰਟਾਂ ਵਿੱਚ ਇਸਨੂੰ ਪੋਲ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਆਉਣ ਵਾਲੇ ਸੁਨੇਹਿਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ ਅਤੇ ਸਿਰਫ਼ ਉਹਨਾਂ ਨੂੰ ਹੀ ਪ੍ਰਕਿਰਿਆ ਕਰਦਾ ਹੈ ਜੋ ਖਾਸ ਮਾਪਦੰਡਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦੇ ਹਨ:
- 'ਇਨਪੁਟ' ਨਾਲ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੀਆਂ ਵਿਸ਼ਾ ਲਾਈਨਾਂ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਨੂੰ ਟਾਸਕਿੰਗ ਨਿਰਦੇਸ਼ਾਂ ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ।
- ਮੈਸੇਜ ਬਾਡੀ Base64-ਡੀਕੋਡ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ /bin/bash ਰਾਹੀਂ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਦੇ ਤੌਰ 'ਤੇ ਚਲਾਈ ਜਾਂਦੀ ਹੈ।
- ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਤੀਜੇ 'ਆਉਟਪੁੱਟ' ਵਿਸ਼ੇ ਵਾਲੇ ਈਮੇਲ ਜਵਾਬਾਂ ਰਾਹੀਂ ਪ੍ਰਗਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
- ਫੋਰੈਂਸਿਕ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਅਸਲ ਟਾਸਕਿੰਗ ਈਮੇਲਾਂ ਨੂੰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ
ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਇਕਸਾਰ ਵਿਕਾਸ ਫਿੰਗਰਪ੍ਰਿੰਟ
ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਅਤੇ ਤੈਨਾਤੀ ਤਰੀਕਿਆਂ ਵਿੱਚ ਅੰਤਰ ਦੇ ਬਾਵਜੂਦ, ਅੰਡਰਲਾਈੰਗ C2 ਆਰਕੀਟੈਕਚਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਸੰਸਕਰਣਾਂ ਵਿਚਕਾਰ ਇਕਸਾਰ ਰਹਿੰਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੋਵਾਂ ਰੂਪਾਂ ਵਿੱਚ ਇੱਕੋ ਜਿਹੀਆਂ ਹਾਰਡ-ਕੋਡ ਕੀਤੀਆਂ ਸਪੈਲਿੰਗ ਗਲਤੀਆਂ ਵੀ ਦੇਖੀਆਂ ਹਨ, ਜੋ ਕਿ ਟੂਲਸ ਦੇ ਪਿੱਛੇ ਇੱਕ ਸਾਂਝੀ ਡਿਵੈਲਪਰ ਜਾਂ ਵਿਕਾਸ ਟੀਮ ਨੂੰ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।
ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ: ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਵਧਾਉਣਾ
ਲੀਨਕਸ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਦੀ ਸ਼ੁਰੂਆਤ ਹਾਰਵੈਸਟਰ ਦੀਆਂ ਆਪਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਿਭਿੰਨ ਬਣਾਉਣ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਵਧਾਉਣ ਦੇ ਚੱਲ ਰਹੇ ਯਤਨਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਕਈ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਅਤੇ ਭਰੋਸੇਯੋਗ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਸਮੂਹ ਘੱਟ ਖੋਜ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਵਾਤਾਵਰਣ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਆਪਣੇ ਆਪ ਨੂੰ ਸਥਿਤੀ ਵਿੱਚ ਰੱਖ ਰਿਹਾ ਹੈ।
ਇਹ ਵਿਕਾਸ ਆਧੁਨਿਕ ਖ਼ਤਰੇ ਦੇ ਕਾਰਕਾਂ ਦੀ ਵਧ ਰਹੀ ਸੂਝ-ਬੂਝ ਅਤੇ ਅਨੁਕੂਲ, ਵਿਵਹਾਰ-ਅਧਾਰਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਬਚਾਅ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
