GoGra Linux Backdoor

ஹார்வெஸ்டர் என அறியப்படும் அச்சுறுத்தல் சக்தியானது, அதன் கோக்ரா (GoGra) பின்கதவின் புதிதாக அடையாளம் காணப்பட்ட லினக்ஸ் மாறுபாட்டுடன் தொடர்புபடுத்தப்பட்டுள்ளது. இது அதன் இணைய உளவு நடவடிக்கைகளின் தொடர்ச்சியான விரிவாக்கத்தைக் குறிக்கிறது. இந்தத் தாக்குதல்கள் முதன்மையாக தெற்காசியா முழுவதும் உள்ள அமைப்புகளைக் குறிவைப்பதாக நம்பப்படுகிறது. தடயவியல் சான்றுகள், இந்தச் செயல்பாடுகள் இந்தியா மற்றும் ஆப்கானிஸ்தானில் இருந்து உருவானதாகச் சுட்டிக்காட்டுகின்றன. இது, இந்தப் பிராந்தியங்களில் உள்ள அமைப்புகளை இலக்காகக் கொண்ட ஒரு குறிப்பிட்ட உளவுத் தகவல் சேகரிப்புப் பிரச்சாரத்தைக் குறிக்கிறது.

நம்பகமான வழிகள் மூலம் மறைவாகச் செயல்படுதல்: கிளவுட் உள்கட்டமைப்பைத் தவறாகப் பயன்படுத்துதல்

இந்தத் தாக்குதலின் ஒரு முக்கிய அம்சம், இரகசியத் தகவல்தொடர்புக்காக முறையான கிளவுட் சேவைகளைத் தவறாகப் பயன்படுத்துவதாகும். இந்த மால்வேர், மைக்ரோசாஃப்ட் கிராஃப் ஏபிஐ-ஐ (Microsoft Graph API) அவுட்லுக் அஞ்சல் பெட்டிகளுடன் சேர்த்து, ஒரு மறைக்கப்பட்ட கட்டளை மற்றும் கட்டுப்பாட்டு (C2) வழித்தடமாகப் பயன்படுத்துகிறது. நம்பகமான தளங்களுக்குள் தீங்கிழைக்கும் தகவல்தொடர்புகளை உட்பொதிப்பதன் மூலம், தாக்குதல் நடத்துபவர்கள் பாரம்பரிய பாதுகாப்பு அரண்களைத் திறம்படத் தவிர்க்கின்றனர். இதனால், அவற்றைக் கண்டறிவது மிகவும் சவாலானதாகிறது.

கிராஃபனிலிருந்து கோக்ரா வரை: ஓர் அச்சுறுத்தல் காரணியின் பரிணாம வளர்ச்சி

தெற்காசியாவில் உள்ள தொலைத்தொடர்பு, அரசு மற்றும் தகவல் தொழில்நுட்பத் துறைகளை இலக்காகக் கொண்ட ஒரு தகவல் திருட்டு நடவடிக்கையுடன் தொடர்புபடுத்தப்பட்டபோது, 2021-ஆம் ஆண்டின் பிற்பகுதியில் ஹார்வெஸ்டர் முதன்முதலில் பொதுமக்களின் கவனத்திற்கு வந்தது. அந்தக் காலகட்டத்தில், அந்தக் குழு கிராஃபான் (Graphon) எனப்படும் ஒரு பிரத்யேக உள்செருகலை நிறுவியது, அது C2 தகவல்தொடர்புக்காக மைக்ரோசாஃப்ட் கிராஃப் ஏபிஐ-யையும் (Microsoft Graph API) பயன்படுத்தியது.

ஆகஸ்ட் 2024-ல், அப்பகுதியில் உள்ள ஒரு ஊடக நிறுவனத்திற்கு எதிரான ஒரு நடவடிக்கையுடன் அந்தக் குழுவை மேலும் தொடர்புபடுத்தியது. இந்த நடவடிக்கை, இதற்கு முன் காணப்படாத Go-அடிப்படையிலான ஒரு பின்கதவான GoGra-வை அறிமுகப்படுத்தியது. ஹார்வெஸ்டர் இந்தத் திறனை விண்டோஸ் சூழல்களுக்கு அப்பால் விரிவுபடுத்தி, தற்போது அதே தீம்பொருள் குடும்பத்தின் லினக்ஸ்-சார்ந்த ஒரு வகையைச் செயல்படுத்தி வருவதை சமீபத்திய கண்டுபிடிப்புகள் உறுதிப்படுத்துகின்றன.

ஏமாற்று நுழைவு: சமூகப் பொறியியல் மற்றும் செயல்படுத்தும் தந்திரங்கள்

ஆரம்பகட்டத் தொற்று, சமூகப் பொறியியல் நுட்பங்களைப் பெருமளவில் சார்ந்துள்ளது. PDF ஆவணங்கள் போல மாறுவேடமிட்ட ELF பைனரிகளைத் திறக்குமாறு பாதிக்கப்பட்டவர்கள் கையாளப்படுகிறார்கள். அது செயல்படுத்தப்பட்டவுடன், நம்பகமான தோற்றத்தைப் பேணுவதற்காக, அந்தத் தகவல் அனுப்புபவர் ஒரு போலி ஆவணத்தைக் காண்பிக்கும் அதே வேளையில், பின்னணியில் யாருக்கும் தெரியாமல் பின்கதவை நிறுவிவிடுகிறார்.

கட்டளை மற்றும் கட்டுப்பாட்டு பணிப்பாய்வு: துல்லியம் மற்றும் நிலைத்தன்மை

GoGra-வின் லினக்ஸ் பதிப்பானது, தகவல் தொடர்பு தர்க்கம் மற்றும் செயல்பாட்டு ஓட்டம் ஆகியவற்றின் அடிப்படையில் அதன் விண்டோஸ் பதிப்பைப் போலவே செயல்படுகிறது. இது 'Zomato Pizza' என்று பெயரிடப்பட்ட ஒரு குறிப்பிட்ட அவுட்லுக் அஞ்சல் பெட்டிக் கோப்புறையுடன் தொடர்பு கொள்கிறது, மேலும் திறந்த தரவு நெறிமுறை (OData) வினவல்கள் வழியாக ஒவ்வொரு இரண்டு வினாடிகளுக்கும் அதை ஆய்வு செய்கிறது. இந்த தீம்பொருள் உள்வரும் செய்திகளைக் கண்காணித்து, குறிப்பிட்ட நிபந்தனைகளைப் பூர்த்தி செய்யும் செய்திகளை மட்டுமே செயலாக்குகிறது.

• 'Input' எனத் தொடங்கும் தலைப்புகளைக் கொண்ட மின்னஞ்சல்கள், பணி அறிவுறுத்தல்களாக அடையாளம் காணப்படுகின்றன.
• செய்தியின் உள்ளடக்கம் Base64-ஆக குறியீடவிழ்க்கப்பட்டு, /bin/bash வழியாக ஷெல் கட்டளைகளாகச் செயல்படுத்தப்படுகிறது.

• செயலாக்க முடிவுகள், 'Output' என்ற தலைப்புடன் கூடிய மின்னஞ்சல் பதில்கள் வழியாக வெளியேற்றப்படுகின்றன.

• தடயவியல் தடயங்களை அகற்றுவதற்காக, பணி செயல்படுத்தப்பட்ட பிறகு அசல் பணி அழைப்பு மின்னஞ்சல்கள் நீக்கப்படுகின்றன.

பல்வேறு தளங்களில் சீரான வளர்ச்சித் தடயங்கள்

இயக்க முறைமைகள் மற்றும் நிறுவல் முறைகளில் வேறுபாடுகள் இருந்தபோதிலும், விண்டோஸ் மற்றும் லினக்ஸ் பதிப்புகளுக்கு இடையே அடிப்படையான C2 கட்டமைப்பு சீராகவே உள்ளது. மேலும், இரு பதிப்புகளிலும் ஒரே மாதிரியான, நிரலில் நேரடியாகப் பதியப்பட்ட எழுத்துப்பிழைகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இது, இந்தக் கருவிகளுக்குப் பின்னால் ஒரு பொதுவான உருவாக்குநர் அல்லது மேம்பாட்டுக் குழு இருந்ததை வலுவாகச் சுட்டிக்காட்டுகிறது.

வியூக ரீதியான தாக்கங்கள்: தாக்குதல் பரப்பை விரிவுபடுத்துதல்

லினக்ஸ் அடிப்படையிலான ஒரு பின்கதவின் அறிமுகம், ஹார்வெஸ்டர் தனது திறன்களைப் பன்முகப்படுத்தவும் செயல்பாட்டு நெகிழ்வுத்தன்மையை அதிகரிக்கவும் மேற்கொண்டுவரும் தொடர்ச்சியான முயற்சிகளை எடுத்துக்காட்டுகிறது. பல இயக்க முறைமைகளைக் குறிவைத்து, நம்பகமான கிளவுட் சேவைகளைப் பயன்படுத்துவதன் மூலம், இந்தக் குழு, எளிதில் கண்டறியப்படாத நிலையைத் தக்கவைத்துக்கொண்டு, பரந்த அளவிலான சூழல்களில் ஊடுருவத் தன்னை நிலைநிறுத்திக்கொள்கிறது.

இந்தப் பரிணாம வளர்ச்சி, நவீன அச்சுறுத்தல் சக்திகளின் அதிகரித்து வரும் நுட்பத்தையும், தகவமைத்துக் கொள்ளக்கூடிய, நடத்தை அடிப்படையிலான இணையப் பாதுகாப்புத் தற்காப்புகளின் தேவையையும் அடிக்கோடிட்டுக் காட்டுகிறது.