GoGra Linux Backdoor

హార్వెస్టర్ అని పిలువబడే ముప్పు కలిగించే సంస్థ, దాని గోగ్రా బ్యాక్‌డోర్ యొక్క కొత్తగా గుర్తించబడిన లైనక్స్ వేరియంట్‌తో సంబంధం కలిగి ఉంది. ఇది దాని సైబర్-గూఢచర్య కార్యకలాపాలు నిరంతరం విస్తరిస్తున్నాయని సూచిస్తోంది. ఈ దాడులు ప్రధానంగా దక్షిణాసియాలోని సంస్థలను లక్ష్యంగా చేసుకున్నాయని భావిస్తున్నారు, అయితే ఫోరెన్సిక్ ఆధారాలు ఈ కార్యకలాపాలు భారతదేశం మరియు ఆఫ్ఘనిస్తాన్ నుండి ప్రారంభమైనట్లు సూచిస్తున్నాయి. ఇది ఈ ప్రాంతాలలోని సంస్థలను లక్ష్యంగా చేసుకుని, ఒక కేంద్రీకృత గూఢచర్య సేకరణ ప్రచారాన్ని సూచిస్తుంది.

విశ్వసనీయ మార్గాల ద్వారా రహస్య చొరబాటు: క్లౌడ్ మౌలిక సదుపాయాల దుర్వినియోగం

రహస్య సమాచార మార్పిడి కోసం చట్టబద్ధమైన క్లౌడ్ సేవలను దుర్వినియోగం చేయడం ఈ దాడి యొక్క ముఖ్య లక్షణం. ఈ మాల్వేర్, అవుట్‌లుక్ మెయిల్‌బాక్స్‌లతో పాటు మైక్రోసాఫ్ట్ గ్రాఫ్ APIని ఒక రహస్య కమాండ్-అండ్-కంట్రోల్ (C2) ఛానెల్‌గా ఉపయోగించుకుంటుంది. విశ్వసనీయ ప్లాట్‌ఫారమ్‌లలో హానికరమైన సమాచార మార్పిడిని పొందుపరచడం ద్వారా, దాడి చేసేవారు సాంప్రదాయ రక్షణ వ్యవస్థలను సమర్థవంతంగా దాటవేస్తారు, దీనివల్ల దానిని గుర్తించడం గణనీయంగా కష్టతరం అవుతుంది.

గ్రాఫోన్ నుండి గోగ్రా వరకు: ఒక ముప్పు కారకం యొక్క పరిణామం

2021 చివరిలో, దక్షిణాసియాలోని టెలికమ్యూనికేషన్స్, ప్రభుత్వ, మరియు ఐటీ రంగాలను లక్ష్యంగా చేసుకున్న సమాచార దొంగతనపు ప్రచారంతో సంబంధం ఉన్నప్పుడు హార్వెస్టర్ మొదటిసారిగా ప్రజల దృష్టికి వచ్చింది. ఆ దశలో, ఈ బృందం గ్రాఫాన్ అని పిలువబడే ఒక కస్టమ్ ఇంప్లాంట్‌ను మోహరించింది, ఇది C2 కమ్యూనికేషన్ కోసం మైక్రోసాఫ్ట్ గ్రాఫ్ APIని కూడా ఉపయోగించుకుంది.

ఆగస్టు 2024లో, తదుపరి కార్యకలాపాలు ఈ బృందాన్ని ఆ ప్రాంతంలోని ఒక మీడియా సంస్థపై జరిగిన ఆపరేషన్‌కు ముడిపెట్టాయి. ఈ ఆపరేషన్, ఇంతకు ముందెన్నడూ చూడని Go-ఆధారిత బ్యాక్‌డోర్ అయిన GoGraను ప్రవేశపెట్టింది. ఇటీవలి పరిశోధనలు హార్వెస్టర్ ఈ సామర్థ్యాన్ని విండోస్ పరిసరాలకు మించి విస్తరించిందని, ఇప్పుడు అదే మాల్వేర్ కుటుంబానికి చెందిన లైనక్స్-నిర్దిష్ట వేరియంట్‌ను కూడా మోహరిస్తున్నట్లు నిర్ధారిస్తున్నాయి.

మోసపూరిత ప్రవేశం: సామాజిక ఇంజనీరింగ్ మరియు అమలు వ్యూహాలు

తొలి దశలో సంక్రమణ ఎక్కువగా సోషల్ ఇంజనీరింగ్ పద్ధతులపై ఆధారపడి ఉంటుంది. PDF డాక్యుమెంట్ల రూపంలో ఉన్న ELF బైనరీలను తెరిచేలా బాధితులను మాయ చేస్తారు. వాటిని తెరిచిన తర్వాత, అది నిజమైనదనే భ్రమను కొనసాగించడానికి డ్రాపర్ ఒక నకిలీ డాక్యుమెంట్‌ను ప్రదర్శిస్తుంది, అదే సమయంలో నేపథ్యంలో నిశ్శబ్దంగా బ్యాక్‌డోర్‌ను అమర్చుతుంది.

కమాండ్-అండ్-కంట్రోల్ వర్క్‌ఫ్లో: కచ్చితత్వం మరియు నిలకడ

GoGra యొక్క లినక్స్ వేరియంట్, కమ్యూనికేషన్ లాజిక్ మరియు ఆపరేషనల్ ఫ్లో పరంగా దాని విండోస్ వెర్షన్‌ను పోలి ఉంటుంది. ఇది 'Zomato Pizza' అని పేరు పెట్టబడిన ఒక నిర్దిష్ట Outlook మెయిల్‌బాక్స్ ఫోల్డర్‌తో సంకర్షణ చెందుతుంది, మరియు ఓపెన్ డేటా ప్రోటోకాల్ (OData) క్వెరీల ద్వారా ప్రతి రెండు సెకన్లకు దానిని పోల్ చేస్తుంది. ఈ మాల్వేర్ ఇన్‌కమింగ్ మెసేజ్‌లను పర్యవేక్షిస్తుంది మరియు నిర్దిష్ట ప్రమాణాలకు అనుగుణంగా ఉన్న వాటిని మాత్రమే ప్రాసెస్ చేస్తుంది:

• 'ఇన్‌పుట్'తో ప్రారంభమయ్యే సబ్జెక్ట్ లైన్‌లు గల ఇమెయిల్‌లు టాస్కింగ్ సూచనలుగా గుర్తించబడతాయి
• సందేశం బేస్64-డీకోడ్ చేయబడి, /bin/bash ద్వారా షెల్ కమాండ్‌లుగా అమలు చేయబడుతుంది.

• అమలు ఫలితాలు 'Output' అనే సబ్జెక్ట్‌తో ఉన్న ఇమెయిల్ ప్రతిస్పందనల ద్వారా బయటకు పంపబడతాయి.

• ఫోరెన్సిక్ ఆనవాళ్లను తొలగించడానికి, అమలు తర్వాత అసలైన టాస్కింగ్ ఇమెయిల్‌లు తొలగించబడతాయి.

ప్లాట్‌ఫారమ్‌లలో స్థిరమైన అభివృద్ధి ముద్రలు

ఆపరేటింగ్ సిస్టమ్‌లు మరియు డిప్లాయ్‌మెంట్ పద్ధతులలో తేడాలు ఉన్నప్పటికీ, విండోస్ మరియు లైనక్స్ వెర్షన్‌ల మధ్య అంతర్లీన C2 ఆర్కిటెక్చర్ స్థిరంగా ఉంటుంది. పరిశోధకులు రెండు వేరియంట్‌లలోనూ ఒకే విధమైన హార్డ్-కోడెడ్ స్పెల్లింగ్ దోషాలను కూడా గమనించారు, ఇది ఈ టూల్స్ వెనుక ఒకే డెవలపర్ లేదా డెవలప్‌మెంట్ బృందం ఉందని బలంగా సూచిస్తుంది.

వ్యూహాత్మక చిక్కులు: దాడి చేసే పరిధిని విస్తరించడం

లినక్స్ ఆధారిత బ్యాక్‌డోర్‌ను ప్రవేశపెట్టడం అనేది, తమ సామర్థ్యాలను విస్తరించుకోవడానికి మరియు కార్యాచరణ సౌలభ్యాన్ని పెంచుకోవడానికి హార్వెస్టర్ చేస్తున్న నిరంతర ప్రయత్నాలను స్పష్టం చేస్తుంది. బహుళ ఆపరేటింగ్ సిస్టమ్‌లను లక్ష్యంగా చేసుకోవడం మరియు విశ్వసనీయమైన క్లౌడ్ సేవలను ఉపయోగించుకోవడం ద్వారా, ఈ బృందం తమను తాము సులభంగా గుర్తించబడకుండానే, విస్తృత శ్రేణి వాతావరణాలను దెబ్బతీయడానికి సిద్ధమవుతోంది.

ఈ పరిణామం ఆధునిక ముప్పు కారకాల పెరుగుతున్న నైపుణ్యాన్ని మరియు అనుకూలమైన, ప్రవర్తన-ఆధారిత సైబర్‌సెక్యూరిటీ రక్షణల ఆవశ్యకతను నొక్కి చెబుతోంది.