Zadnja vrata GoGra Linuxa
Grožnjo, znano kot Harvester, so povezali z novo odkrito različico Linuxa njegovega zadnjega vrata GoGra, kar kaže na nadaljnjo širitev njegovih kibernetskih vohunskih operacij. Domneva se, da so ti napadi usmerjeni predvsem na subjekte po vsej Južni Aziji, forenzični dokazi pa kažejo na dejavnosti, ki izvirajo iz Indije in Afganistana. To kaže na osredotočeno kampanjo zbiranja obveščevalnih podatkov, usmerjeno v organizacije v teh regijah.
Kazalo
Prikritost prek zaupanja vrednih kanalov: zloraba infrastrukture v oblaku
Opredeljujoča značilnost te kampanje je zloraba legitimnih storitev v oblaku za prikrito komunikacijo. Zlonamerna programska oprema uporablja Microsoft Graph API skupaj z Outlookovimi poštnimi predali kot prikriti kanal za upravljanje in nadzor (C2). Z vdelavo zlonamerne komunikacije v zaupanja vredne platforme napadalci učinkovito zaobidejo tradicionalne obrambne mehanizme, zaradi česar je odkrivanje bistveno težje.
Od Graphona do GoGre: Razvoj akterja grožnje
Skupina Harvester je prvič pritegnila pozornost javnosti konec leta 2021, ko je bila povezana s kampanjo kraje informacij, usmerjeno v telekomunikacijski, vladni in IT sektor v Južni Aziji. V tej fazi je skupina uvedla prilagojen vsadek, znan kot Graphon, ki je za komunikacijo C2 uporabljal tudi Microsoft Graph API.
Avgusta 2024 so nadaljnje aktivnosti skupino povezale z operacijo proti medijski organizaciji v regiji. V tej operaciji je bila predstavljena GoGra , prej nevidena zadnja vrata, ki temeljijo na Gou. Nedavne ugotovitve potrjujejo, da je Harvester razširil to zmogljivost izven okolij Windows in zdaj uvaja različico iste družine zlonamerne programske opreme, specifično za Linux.
Zavajajoč vstop: socialni inženiring in taktike izvajanja
Začetna okužba se močno zanaša na tehnike socialnega inženiringa. Žrtve so zmanipulirane, da odprejo binarne datoteke ELF, prikrite kot dokumente PDF. Ko se okužba izvede, program prikaže vabljiv dokument, da ohrani iluzijo legitimnosti, medtem ko v ozadju tiho odpre zadnja vrata.
Delovni tok vodenja in nadzora: natančnost in vztrajnost
Različica GoGre za Linux je v smislu komunikacijske logike in poteka delovanja podobna različici za Windows. Interagira z določeno mapo poštnega predala Outlook z oznako »Zomato Pizza« in jo vsaki dve sekundi anketira prek poizvedb Open Data Protocol (OData). Zlonamerna programska oprema spremlja dohodna sporočila in obdeluje le tista, ki izpolnjujejo določena merila:
- E-poštna sporočila z zadevo, ki se začne z »Vnos«, so prepoznana kot navodila za nalogo
- Telo sporočila je dekodirano v Base64 in izvedeno kot ukazi lupine prek /bin/bash
- Rezultati izvedbe se posredujejo prek odgovorov po e-pošti z zadevo »Izhod«.
- Izvirna e-poštna sporočila z nalogami se po izvedbi izbrišejo, da se odpravijo forenzične sledi
Dosledni razvojni prstni odtisi na vseh platformah
Kljub razlikam v operacijskih sistemih in metodah uvajanja ostaja osnovna arhitektura C2 med različicama za Windows in Linux enaka. Raziskovalci so v obeh različicah opazili tudi enake kodirane črkovalne napake, kar močno kaže na skupnega razvijalca ali razvojno ekipo, ki stoji za orodji.
Strateške posledice: Širjenje površine napada
Uvedba stranskih vrat, ki temeljijo na Linuxu, poudarja nenehna prizadevanja podjetja Harvester za diverzifikacijo svojih zmogljivosti in povečanje operativne fleksibilnosti. Z usmerjanjem na več operacijskih sistemov in izkoriščanjem zaupanja vrednih storitev v oblaku se skupina pozicionira tako, da lahko ogrozi širši nabor okolij, hkrati pa ohranja nizek profil zaznavanja.
Ta razvoj poudarja vse večjo prefinjenost sodobnih akterjev groženj in potrebo po prilagodljivi, na vedenju temelječi kibernetski varnostni obrambi.
