GoGra Linux Backdoor
Злоумышленник, известный как Harvester, был связан с недавно обнаруженным вариантом бэкдора GoGra для Linux, что свидетельствует о продолжающемся расширении его операций по кибершпионажу. Считается, что эти атаки в основном нацелены на организации в Южной Азии, а криминалистические данные указывают на активность, исходящую из Индии и Афганистана. Это говорит о целенаправленной кампании по сбору разведывательной информации, направленной против организаций в этих регионах.
Оглавление
Скрытая передача данных через доверенные каналы: злоупотребление облачной инфраструктурой.
Отличительной чертой этой кампании является злоупотребление легитимными облачными сервисами для скрытой связи. Вредоносное ПО использует API Microsoft Graph вместе с почтовыми ящиками Outlook в качестве скрытого канала управления (C2). Внедряя вредоносные коммуникации в доверенные платформы, злоумышленники эффективно обходят традиционные средства защиты периметра, что значительно затрудняет обнаружение.
От Graphon до GoGra: эволюция субъекта угроз.
Группа Harvester впервые привлекла внимание общественности в конце 2021 года, когда её связали с кампанией по краже информации, направленной против телекоммуникационного, государственного и ИТ-секторов Южной Азии. На этом этапе группа развернула собственную вредоносную программу под названием Graphon, которая также использовала API Microsoft Graph для связи с командным центром.
В августе 2024 года дальнейшая активность группы связала её с операцией против медиа-организации в регионе. В рамках этой операции был внедрен GoGra — ранее неизвестный бэкдор на языке Go. Недавние исследования подтверждают, что Harvester расширил свои возможности за пределы сред Windows, теперь используя вариант того же семейства вредоносных программ, специфичный для Linux.
Обманный вход: социальная инженерия и тактика осуществления
Первоначальное заражение в значительной степени основано на методах социальной инженерии. Жертв заставляют открывать ELF-файлы, замаскированные под PDF-документы. После запуска вредоносная программа отображает поддельный документ, чтобы поддерживать иллюзию легитимности, в то время как в фоновом режиме незаметно развертывается бэкдор.
Рабочий процесс управления и контроля: точность и настойчивость
Вариант GoGra для Linux повторяет свою версию для Windows с точки зрения логики взаимодействия и рабочего процесса. Он взаимодействует с указанной папкой почтового ящика Outlook под названием «Zomato Pizza», опрашивая её каждые две секунды с помощью запросов Open Data Protocol (OData). Вредоносная программа отслеживает входящие сообщения и обрабатывает только те, которые соответствуют определённым критериям:
- Электронные письма с темами, начинающимися со слова «Ввод», помечаются как инструкции по выполнению задания.
Единый подход к разработке на разных платформах.
Несмотря на различия в операционных системах и методах развертывания, базовая архитектура C2 остается неизменной в версиях для Windows и Linux. Исследователи также обнаружили идентичные жестко закодированные орфографические ошибки в обоих вариантах, что убедительно указывает на то, что за этими инструментами стоит один и тот же разработчик или команда разработчиков.
Стратегические последствия: расширение поверхности атаки
Внедрение бэкдора на базе Linux подчеркивает постоянные усилия Harvester по диверсификации своих возможностей и повышению операционной гибкости. Нацеливаясь на множество операционных систем и используя доверенные облачные сервисы, группа позиционирует себя как способная скомпрометировать более широкий спектр сред, сохраняя при этом низкий уровень обнаружения.
Эта эволюция подчеркивает растущую изощренность современных злоумышленников и необходимость адаптивной, основанной на поведении защиты в сфере кибербезопасности.
