Бекдор GoGra для Linux
Зловмисника, відомого як Harvester, пов'язали з нещодавно виявленим варіантом Linux його бекдору GoGra, що сигналізує про подальше розширення його кібершпигунських операцій. Вважається, що ці атаки спрямовані переважно на організації по всій Південній Азії, а судово-медичні докази вказують на активність, що походить з Індії та Афганістану. Це свідчить про цілеспрямовану кампанію зі збору розвідувальних даних, спрямовану на організації в цих регіонах.
Зміст
Прихованість через перевірені канали: зловживання хмарною інфраструктурою
Визначальною рисою цієї кампанії є зловживання легітимними хмарними сервісами для прихованого зв'язку. Шкідливе програмне забезпечення використовує API Microsoft Graph разом із поштовими скриньками Outlook як прихований канал командування та управління (C2). Вбудовуючи шкідливі комунікації в довірені платформи, зловмисники ефективно обходять традиційні засоби захисту периметра, що значно ускладнює виявлення.
Від Graphon до GoGra: еволюція актора загрози
Harvester вперше привернув увагу громадськості наприкінці 2021 року, коли його пов'язали з кампанією з крадіжки інформації, спрямованою на телекомунікаційний, урядовий та ІТ-сектори Південної Азії. На цьому етапі група розгорнула спеціальний імплантат під назвою Graphon, який також використовував API Microsoft Graph для зв'язку C2.
У серпні 2024 року подальша активність пов'язала групу з операцією проти медіаорганізації в регіоні. У рамках цієї операції було представлено GoGra , раніше невидимий бекдор на базі Go. Нещодавні дані підтверджують, що Harvester розширив цю можливість за межі середовищ Windows, тепер розгортаючи специфічний для Linux варіант того ж сімейства шкідливих програм.
Оманливий вхід: соціальна інженерія та тактика виконання
Початкове зараження значною мірою спирається на методи соціальної інженерії. Жертв маніпулюють, змушуючи їх відкривати бінарні файли ELF, замасковані під PDF-документи. Після виконання дроппер відображає документ-приманку, щоб підтримувати ілюзію легітимності, одночасно непомітно розгортаючи бекдор у фоновому режимі.
Робочий процес командування та управління: точність та наполегливість
Варіант GoGra для Linux відображає свій аналог для Windows з точки зору логіки зв'язку та операційного процесу. Він взаємодіє з призначеною папкою поштової скриньки Outlook під назвою «Zomato Pizza», опитуючи її кожні дві секунди за допомогою запитів Open Data Protocol (OData). Шкідливе програмне забезпечення відстежує вхідні повідомлення та обробляє лише ті, що відповідають певним критеріям:
- Листи з темами, що починаються зі слова «Вхідні дані», ідентифікуються як інструкції з виконання завдань.
- Тіло повідомлення декодується за допомогою Base64 та виконується як команди оболонки через /bin/bash
- Результати виконання надсилаються через відповіді електронною поштою з темою «Вивід»
- Оригінальні електронні листи із завданнями видаляються після виконання, щоб усунути сліди експертизи
Узгоджені відбитки розробки на різних платформах
Незважаючи на відмінності в операційних системах та методах розгортання, базова архітектура C2 залишається однаковою між версіями для Windows та Linux. Дослідники також виявили ідентичні жорстко закодовані орфографічні помилки в обох варіантах, що чітко вказує на спільного розробника або команду розробників інструментів.
Стратегічні наслідки: розширення зони атаки
Впровадження бекдору на базі Linux підкреслює постійні зусилля Harvester щодо диверсифікації своїх можливостей та підвищення операційної гнучкості. Орієнтуючись на кілька операційних систем та використовуючи надійні хмарні сервіси, група позиціонує себе для компрометації ширшого спектру середовищ, зберігаючи при цьому низький рівень виявлення.
Ця еволюція підкреслює зростаючу витонченість сучасних акторів-злочинців та необхідність адаптивного, поведінково-орієнтованого захисту у сфері кібербезпеки.
