GoGra Linux Backdoor
Atakujący o nazwie Harvester został powiązany z nowo zidentyfikowaną wersją Linuksa w backdoorze GoGra, co wskazuje na dalszą ekspansję jego działań cybernetycznych. Uważa się, że ataki te są wymierzone głównie w podmioty w Azji Południowej, a dowody kryminalistyczne wskazują na aktywność pochodzącą z Indii i Afganistanu. Sugeruje to ukierunkowaną kampanię wywiadowczą skierowaną przeciwko organizacjom w tych regionach.
Spis treści
Ukrycie za pośrednictwem zaufanych kanałów: nadużywanie infrastruktury chmurowej
Cechą charakterystyczną tej kampanii jest nadużywanie legalnych usług w chmurze do ukrytej komunikacji. Szkodliwe oprogramowanie wykorzystuje interfejs API Microsoft Graph oraz skrzynki pocztowe Outlook jako ukryty kanał dowodzenia i kontroli (C2). Osadzając złośliwą komunikację na zaufanych platformach, atakujący skutecznie omijają tradycyjne zabezpieczenia obwodowe, co znacznie utrudnia ich wykrycie.
Od Graphona do GoGra: ewolucja aktora zagrożenia
Harvester po raz pierwszy zwrócił na siebie uwagę opinii publicznej pod koniec 2021 roku, gdy został powiązany z kampanią kradzieży informacji wymierzoną w sektory telekomunikacyjny, rządowy i IT w Azji Południowej. W tym czasie grupa wdrożyła niestandardowy implant o nazwie Graphon, który również wykorzystywał interfejs API Microsoft Graph do komunikacji C2.
W sierpniu 2024 roku dalsza aktywność powiązała grupę z operacją przeciwko organizacji medialnej w regionie. Operacja ta wprowadziła GoGra , wcześniej niewidzianą furtkę typu backdoor opartą na Go. Najnowsze odkrycia potwierdzają, że Harvester rozszerzył tę funkcjonalność poza środowiska Windows, wdrażając teraz wariant tej samej rodziny złośliwego oprogramowania przeznaczony dla systemu Linux.
Podstępne wejście: socjotechnika i taktyki egzekucji
Początkowa infekcja opiera się w dużej mierze na technikach socjotechnicznych. Ofiary są manipulowane, aby otwierały pliki binarne ELF zamaskowane jako dokumenty PDF. Po uruchomieniu dropper wyświetla fałszywy dokument, aby utrzymać iluzję autentyczności, jednocześnie dyskretnie instalując backdoor w tle.
Przepływ pracy w trybie poleceń i kontroli: precyzja i trwałość
Wersja GoGra dla systemu Linux przypomina swoją wersję dla systemu Windows pod względem logiki komunikacji i przepływu operacji. Współpracuje z wyznaczonym folderem skrzynki pocztowej Outlook o nazwie „Zomato Pizza”, odpytując go co dwie sekundy za pomocą zapytań protokołu Open Data Protocol (OData). Szkodliwe oprogramowanie monitoruje wiadomości przychodzące i przetwarza tylko te, które spełniają określone kryteria:
- Wiadomości e-mail, których tematy zaczynają się od „Wprowadzanie”, są identyfikowane jako instrukcje dotyczące zadań
Spójne odciski palców rozwoju na różnych platformach
Pomimo różnic w systemach operacyjnych i metodach wdrażania, podstawowa architektura C2 pozostaje spójna w wersjach dla systemu Windows i Linux. Badacze zaobserwowali również identyczne błędy ortograficzne w obu wariantach, co wyraźnie wskazuje na istnienie wspólnego programisty lub zespołu programistów stojącego za narzędziami.
Implikacje strategiczne: poszerzanie powierzchni ataku
Wprowadzenie backdoora opartego na Linuksie podkreśla ciągłe wysiłki Harvestera zmierzające do dywersyfikacji swoich możliwości i zwiększenia elastyczności operacyjnej. Obierając za cel wiele systemów operacyjnych i wykorzystując zaufane usługi chmurowe, grupa pozycjonuje się w celu atakowania szerszego zakresu środowisk, jednocześnie utrzymując niski profil wykrywalności.
Zmiany te podkreślają rosnącą wyrafinowanie współczesnych podmiotów stanowiących zagrożenie oraz potrzebę adaptacyjnych, opartych na zachowaniu mechanizmów cyberbezpieczeństwa.
