ช่องโหว่ GoGra Linux

กลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Harvester ถูกเชื่อมโยงกับแบ็กดอร์ GoGra เวอร์ชัน Linux ที่เพิ่งถูกค้นพบ ซึ่งบ่งชี้ถึงการขยายตัวอย่างต่อเนื่องของการปฏิบัติการจารกรรมทางไซเบอร์ การโจมตีเหล่านี้เชื่อว่ามุ่งเป้าไปที่องค์กรต่างๆ ในเอเชียใต้เป็นหลัก โดยหลักฐานทางนิติวิทยาศาสตร์ชี้ให้เห็นถึงกิจกรรมที่มาจากอินเดียและอัฟกานิสถาน ซึ่งบ่งชี้ถึงการรณรงค์รวบรวมข้อมูลข่าวกรองที่มุ่งเน้นไปยังองค์กรต่างๆ ในภูมิภาคเหล่านี้

การลอบเข้าพื้นที่ผ่านช่องทางที่เชื่อถือได้: การใช้โครงสร้างพื้นฐานคลาวด์ในทางที่ผิด

ลักษณะเด่นของแคมเปญนี้คือการใช้บริการคลาวด์ที่ถูกต้องตามกฎหมายในทางที่ผิดเพื่อการสื่อสารลับ มัลแวร์ใช้ประโยชน์จาก Microsoft Graph API ร่วมกับกล่องจดหมาย Outlook เป็นช่องทางควบคุมและสั่งการ (C2) ที่ซ่อนเร้น โดยการฝังการสื่อสารที่เป็นอันตรายไว้ในแพลตฟอร์มที่เชื่อถือได้ ผู้โจมตีสามารถหลีกเลี่ยงการป้องกันแบบดั้งเดิมได้อย่างมีประสิทธิภาพ ทำให้การตรวจจับทำได้ยากขึ้นอย่างมาก

จาก Graphon สู่ GoGra: วิวัฒนาการของกลุ่มผู้คุกคาม

กลุ่มแฮ็กเกอร์ Harvester เริ่มเป็นที่รู้จักในวงกว้างเมื่อปลายปี 2021 เมื่อถูกเชื่อมโยงกับปฏิบัติการขโมยข้อมูลที่มุ่งเป้าไปที่ภาคโทรคมนาคม ภาครัฐ และไอทีในเอเชียใต้ ในช่วงเวลานั้น กลุ่มดังกล่าวได้ติดตั้งมัลแวร์ที่พัฒนาขึ้นเองชื่อ Graphon ซึ่งใช้ Microsoft Graph API สำหรับการสื่อสารควบคุมและสั่งการ (C2) ด้วย

ในเดือนสิงหาคม 2024 มีการค้นพบกิจกรรมเพิ่มเติมที่เชื่อมโยงกลุ่มนี้กับปฏิบัติการโจมตีองค์กรสื่อแห่งหนึ่งในภูมิภาค ปฏิบัติการนี้ได้นำ GoGra ซึ่งเป็นแบ็กดอร์ที่ใช้ภาษา Go ซึ่งไม่เคยพบเห็นมาก่อนเข้ามาใช้ การค้นพบล่าสุดยืนยันว่า Harvester ได้ขยายขีดความสามารถนี้ไปไกลกว่าสภาพแวดล้อม Windows แล้ว โดยขณะนี้ได้ใช้งานมัลแวร์ตระกูลเดียวกันในรูปแบบเฉพาะสำหรับ Linux แล้ว

การบุกรุกโดยใช้กลอุบาย: วิศวกรรมสังคมและกลยุทธ์การลงมือปฏิบัติ

การแพร่ระบาดในระยะแรกอาศัยเทคนิคการหลอกลวงทางสังคมเป็นอย่างมาก เหยื่อจะถูกหลอกให้เปิดไฟล์ไบนารี ELF ที่ปลอมแปลงเป็นเอกสาร PDF เมื่อเปิดไฟล์แล้ว ตัวปล่อยไวรัสจะแสดงเอกสารล่อลวงเพื่อรักษาภาพลวงตาของความถูกต้อง ในขณะที่ทำการติดตั้งแบ็กดอร์อย่างเงียบๆ ในเบื้องหลัง

กระบวนการทำงานแบบสั่งการและควบคุม: ความแม่นยำและความต่อเนื่อง

มัลแวร์ GoGra เวอร์ชัน Linux มีตรรกะการสื่อสารและขั้นตอนการทำงานเหมือนกับเวอร์ชัน Windows ทุกประการ โดยจะโต้ตอบกับโฟลเดอร์กล่องจดหมาย Outlook ที่กำหนดไว้ชื่อ 'Zomato Pizza' โดยจะตรวจสอบข้อมูลทุกๆ สองวินาทีผ่านการสอบถาม Open Data Protocol (OData) มัลแวร์จะตรวจสอบข้อความขาเข้าและประมวลผลเฉพาะข้อความที่ตรงตามเกณฑ์ที่กำหนดเท่านั้น:

• อีเมลที่มีหัวข้อขึ้นต้นด้วย 'Input' จะถูกระบุว่าเป็นคำสั่งงาน
• เนื้อหาข้อความจะถูกถอดรหัส Base64 และประมวลผลเป็นคำสั่งเชลล์ผ่านทาง /bin/bash

• ผลลัพธ์ของการดำเนินการจะถูกส่งออกไปทางอีเมลตอบกลับ โดยมีหัวข้ออีเมลว่า 'Output'

• อีเมลแจ้งภารกิจต้นฉบับจะถูกลบหลังจากดำเนินการเสร็จสิ้น เพื่อกำจัดร่องรอยทางนิติวิทยาศาสตร์

ร่องรอยการพัฒนาที่สม่ำเสมอในทุกแพลตฟอร์ม

แม้จะมีความแตกต่างกันในระบบปฏิบัติการและวิธีการติดตั้ง แต่สถาปัตยกรรมพื้นฐานของ C2 ยังคงสอดคล้องกันระหว่างเวอร์ชัน Windows และ Linux นักวิจัยยังสังเกตเห็นข้อผิดพลาดด้านการสะกดคำที่ถูกกำหนดไว้ตายตัวเหมือนกันในทั้งสองเวอร์ชัน ซึ่งบ่งชี้อย่างชัดเจนว่ามีนักพัฒนาหรือทีมพัฒนาเดียวกันอยู่เบื้องหลังเครื่องมือเหล่านี้

นัยสำคัญเชิงกลยุทธ์: การขยายขอบเขตการโจมตี

การเปิดตัวแบ็กดอร์บนระบบลินุกซ์เน้นย้ำถึงความพยายามอย่างต่อเนื่องของ Harvester ในการขยายขีดความสามารถและเพิ่มความยืดหยุ่นในการปฏิบัติงาน โดยการกำหนดเป้าหมายระบบปฏิบัติการหลายระบบและใช้ประโยชน์จากบริการคลาวด์ที่เชื่อถือได้ กลุ่มนี้กำลังวางตำแหน่งตัวเองเพื่อโจมตีสภาพแวดล้อมที่หลากหลายมากขึ้นในขณะที่ยังคงรักษาการตรวจจับที่ต่ำ

วิวัฒนาการนี้เน้นย้ำถึงความซับซ้อนที่เพิ่มขึ้นของผู้ก่อภัยคุกคามสมัยใหม่ และความจำเป็นในการป้องกันภัยคุกคามทางไซเบอร์ที่ปรับตัวได้ตามพฤติกรรมของผู้กระทำ