GoGra Linux Arka Kapısı
Harvester olarak bilinen tehdit aktörü, GoGra arka kapısının yeni tanımlanmış bir Linux varyantıyla ilişkilendirildi ve bu da siber casusluk faaliyetlerinin devam ettiğine işaret ediyor. Bu saldırıların öncelikle Güney Asya'daki kuruluşları hedef aldığına inanılıyor ve adli kanıtlar Hindistan ve Afganistan'dan kaynaklanan faaliyetlere işaret ediyor. Bu, bu bölgelerdeki kuruluşları hedef alan odaklanmış bir istihbarat toplama kampanyasına işaret ediyor.
İçindekiler
Güvenilir Kanallar Aracılığıyla Gizlilik: Bulut Altyapısının Kötüye Kullanımı
Bu saldırı kampanyasının belirleyici özelliklerinden biri, gizli iletişim için meşru bulut hizmetlerinin kötüye kullanılmasıdır. Kötü amaçlı yazılım, gizli bir Komuta ve Kontrol (C2) kanalı olarak Microsoft Graph API'sini ve Outlook posta kutularını kullanmaktadır. Saldırganlar, kötü amaçlı iletişimi güvenilir platformlara yerleştirerek geleneksel çevre savunmalarını etkili bir şekilde atlatmakta ve tespit edilmeyi önemli ölçüde zorlaştırmaktadır.
Graphon’dan GoGra’ya: Bir Tehdit Aktörünün Evrimi
Harvester, ilk olarak 2021'in sonlarında Güney Asya'daki telekomünikasyon, hükümet ve bilişim sektörlerini hedef alan bir bilgi hırsızlığı kampanyasıyla ilişkilendirildiğinde kamuoyunun dikkatini çekti. Bu aşamada grup, C2 iletişimi için Microsoft Graph API'sini de kullanan Graphon adlı özel bir kötü amaçlı yazılım yerleştirdi.
Ağustos 2024'te, grubun bölgedeki bir medya kuruluşuna yönelik bir operasyonla bağlantılı olduğu ortaya çıktı. Bu operasyon, daha önce görülmemiş Go tabanlı bir arka kapı olan GoGra'yı ortaya çıkardı. Son bulgular, Harvester'ın bu yeteneğini Windows ortamlarının ötesine genişlettiğini ve aynı kötü amaçlı yazılım ailesinin Linux'a özgü bir varyantını da kullanıma sunduğunu doğruluyor.
Aldatıcı Giriş: Sosyal Mühendislik ve Uygulama Taktikleri
İlk enfeksiyon büyük ölçüde sosyal mühendislik tekniklerine dayanmaktadır. Kurbanlar, PDF belgeleri gibi gizlenmiş ELF ikili dosyalarını açmaya yönlendirilir. Çalıştırıldıktan sonra, zararlı yazılım, meşruiyet yanılsamasını sürdürmek için sahte bir belge görüntülerken arka planda sessizce arka kapıyı devreye sokar.
Komuta ve Kontrol İş Akışı: Hassasiyet ve Süreklilik
GoGra'nın Linux sürümü, iletişim mantığı ve çalışma akışı açısından Windows sürümüne benzer. 'Zomato Pizza' etiketli belirli bir Outlook posta kutusu klasörüyle etkileşime girer ve Açık Veri Protokolü (OData) sorguları aracılığıyla her iki saniyede bir bu klasörü yoklar. Kötü amaçlı yazılım gelen mesajları izler ve yalnızca belirli kriterleri karşılayanları işler:
- Konu satırı 'Giriş' ile başlayan e-postalar, görevlendirme talimatları olarak tanımlanır.
- Mesaj gövdesi Base64 ile çözümlenir ve /bin/bash aracılığıyla kabuk komutları olarak yürütülür.
- Yürütme sonuçları, konu başlığı 'Çıktı' olan e-posta yanıtları aracılığıyla dışarı sızdırılıyor.
- Adli izleri ortadan kaldırmak için, görevlendirme e-postaları işlem tamamlandıktan sonra silinir.
Platformlar Arasında Tutarlı Geliştirme İzleri
İşletim sistemleri ve dağıtım yöntemlerindeki farklılıklara rağmen, temel C2 mimarisi Windows ve Linux sürümleri arasında tutarlı kalmaktadır. Araştırmacılar ayrıca her iki varyantta da aynı sabit kodlanmış yazım hatalarını gözlemlemiş olup, bu durum araçların arkasında ortak bir geliştirici veya geliştirme ekibinin olduğunu güçlü bir şekilde göstermektedir.
Stratejik Sonuçlar: Saldırı Alanının Genişletilmesi
Linux tabanlı bir arka kapı yazılımının kullanıma sunulması, Harvester'ın yeteneklerini çeşitlendirme ve operasyonel esnekliği artırma yönündeki devam eden çabalarını vurgulamaktadır. Birden fazla işletim sistemini hedefleyerek ve güvenilir bulut hizmetlerinden yararlanarak, grup düşük tespit profili korurken daha geniş bir yelpazedeki ortamları tehlikeye atabilecek şekilde konumlanmaktadır.
Bu evrim, modern tehdit aktörlerinin giderek artan karmaşıklığını ve uyarlanabilir, davranış tabanlı siber güvenlik savunmalarına duyulan ihtiyacı vurgulamaktadır.
