GoGra Linux Backdoor
Actorul amenințător cunoscut sub numele de Harvester a fost asociat cu o variantă Linux recent identificată a backdoor-ului său GoGra, semnalând o extindere continuă a operațiunilor sale de ciberspionaj. Se crede că aceste atacuri vizează în principal entități din Asia de Sud, dovezile criminalistice indicând o activitate provenită din India și Afganistan. Acest lucru sugerează o campanie de colectare de informații concentrată asupra organizațiilor din aceste regiuni.
Cuprins
Abuzul infrastructurii cloud prin canale de încredere
O caracteristică definitorie a acestei campanii este abuzul de servicii cloud legitime pentru comunicare sub acoperire. Programul malware utilizează API-ul Microsoft Graph alături de cutiile poștale Outlook ca un canal de comandă și control (C2) ascuns. Prin integrarea comunicațiilor rău intenționate în platforme de încredere, atacatorii ocolesc eficient apărarea perimetrală tradițională, ceea ce face ca detectarea să fie semnificativ mai dificilă.
De la Graphon la GoGra: Evoluția unui actor amenințător
Harvester a intrat în atenția publică pentru prima dată la sfârșitul anului 2021, când a fost asociat cu o campanie de furt de informații care viza sectoarele telecomunicațiilor, guvernului și IT din Asia de Sud. În acea fază, grupul a implementat un implant personalizat cunoscut sub numele de Graphon, care utiliza și API-ul Microsoft Graph pentru comunicarea C2.
În august 2024, alte activități au legat grupul de o operațiune împotriva unei organizații media din regiune. Această operațiune a introdus GoGra , un backdoor bazat pe Go, inedit până acum. Descoperiri recente confirmă faptul că Harvester a extins această capacitate dincolo de mediile Windows, implementând acum o variantă specifică Linux a aceleiași familii de programe malware.
Intrare înșelătoare: inginerie socială și tactici de execuție
Infecția inițială se bazează în mare măsură pe tehnici de inginerie socială. Victimele sunt manipulate să deschidă fișiere binare ELF deghizate în documente PDF. Odată executat, dropper-ul afișează un document capcană pentru a menține iluzia legitimității, în timp ce implementează silențios backdoor-ul în fundal.
Flux de lucru Comandă și Control: Precizie și Perseverență
Varianta Linux a GoGra reflectă omologul său Windows în ceea ce privește logica de comunicare și fluxul operațional. Interacționează cu un folder desemnat pentru căsuța poștală Outlook, etichetat „Zomato Pizza”, interogându-l la fiecare două secunde prin intermediul interogărilor Open Data Protocol (OData). Programul malware monitorizează mesajele primite și le procesează doar pe cele care îndeplinesc anumite criterii:
- E-mailurile cu subiecte care încep cu „Input” sunt identificate ca instrucțiuni de tasking.
- Corpul mesajului este decodificat în Base64 și executat ca comenzi shell prin /bin/bash
- Rezultatele execuției sunt extrase prin răspunsuri prin e-mail cu subiectul „Output”
- E-mailurile originale legate de sarcini sunt șterse după executare pentru a elimina urmele criminalistice.
Amprente digitale de dezvoltare consistente pe toate platformele
În ciuda diferențelor dintre sistemele de operare și metodele de implementare, arhitectura C2 subiacentă rămâne consistentă între versiunile Windows și Linux. Cercetătorii au observat, de asemenea, erori de ortografie identice în ambele variante, ceea ce indică în mod puternic un dezvoltator sau o echipă de dezvoltare comună în spatele instrumentelor.
Implicații strategice: Extinderea suprafeței de atac
Introducerea unui backdoor bazat pe Linux evidențiază eforturile continue ale Harvester de a-și diversifica capabilitățile și de a crește flexibilitatea operațională. Prin vizarea mai multor sisteme de operare și valorificarea serviciilor cloud de încredere, grupul se poziționează pentru a compromite o gamă mai largă de medii, menținând în același timp un profil de detectare scăzut.
Această evoluție subliniază sofisticarea tot mai mare a actorilor amenințători moderni și nevoia de apărări cibernetice adaptive, bazate pe comportament.
