Cửa hậu GoGra Linux
Nhóm tin tặc Harvester đã bị phát hiện có liên quan đến một biến thể Linux mới của phần mềm độc hại GoGra, cho thấy sự mở rộng liên tục các hoạt động gián điệp mạng của nhóm này. Các cuộc tấn công này được cho là chủ yếu nhắm vào các thực thể ở Nam Á, với bằng chứng pháp y chỉ ra hoạt động bắt nguồn từ Ấn Độ và Afghanistan. Điều này cho thấy một chiến dịch thu thập thông tin tình báo có trọng tâm nhắm vào các tổ chức trong các khu vực này.
Mục lục
Lén lút thông qua các kênh đáng tin cậy: Lạm dụng cơ sở hạ tầng đám mây
Một đặc điểm nổi bật của chiến dịch này là việc lạm dụng các dịch vụ đám mây hợp pháp để liên lạc bí mật. Phần mềm độc hại sử dụng API Microsoft Graph cùng với hộp thư Outlook như một kênh điều khiển và kiểm soát (C2) được che giấu. Bằng cách nhúng các thông tin liên lạc độc hại vào các nền tảng đáng tin cậy, những kẻ tấn công đã vượt qua hiệu quả các biện pháp phòng thủ truyền thống, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Từ Graphon đến GoGra: Sự tiến hóa của một tác nhân đe dọa
Harvester lần đầu tiên được công chúng chú ý vào cuối năm 2021, khi nó bị liên quan đến một chiến dịch đánh cắp thông tin nhắm vào các lĩnh vực viễn thông, chính phủ và công nghệ thông tin ở Nam Á. Trong giai đoạn đó, nhóm này đã triển khai một phần mềm độc hại tùy chỉnh có tên là Graphon, phần mềm này cũng sử dụng API Microsoft Graph để liên lạc C2.
Vào tháng 8 năm 2024, các hoạt động tiếp theo đã liên kết nhóm này với một chiến dịch chống lại một tổ chức truyền thông trong khu vực. Chiến dịch này đã giới thiệu GoGra , một phần mềm cửa hậu dựa trên Go chưa từng thấy trước đây. Những phát hiện gần đây xác nhận rằng Harvester đã mở rộng khả năng này ra ngoài môi trường Windows, hiện đang triển khai một biến thể dành riêng cho Linux của cùng một họ phần mềm độc hại.
Xâm nhập bằng thủ đoạn lừa đảo: Kỹ thuật xã hội và chiến thuật thực thi
Việc lây nhiễm ban đầu chủ yếu dựa vào các kỹ thuật thao túng tâm lý. Nạn nhân bị lừa mở các tập tin nhị phân ELF được ngụy trang dưới dạng tài liệu PDF. Sau khi thực thi, phần mềm độc hại sẽ hiển thị một tài liệu giả mạo để duy trì ảo tưởng về tính hợp pháp trong khi âm thầm triển khai cửa hậu ở chế độ nền.
Quy trình điều khiển và kiểm soát: Độ chính xác và tính bền vững
Phiên bản Linux của GoGra phản ánh phiên bản Windows về logic giao tiếp và quy trình hoạt động. Nó tương tác với thư mục hộp thư Outlook được chỉ định có tên 'Zomato Pizza', thăm dò thư mục này cứ sau hai giây thông qua các truy vấn Giao thức Dữ liệu Mở (OData). Phần mềm độc hại này giám sát các tin nhắn đến và chỉ xử lý những tin nhắn đáp ứng các tiêu chí cụ thể:
- Các email có tiêu đề bắt đầu bằng 'Input' được xác định là hướng dẫn thực hiện nhiệm vụ.
- Nội dung thông báo được giải mã Base64 và thực thi như các lệnh shell thông qua /bin/bash.
- Kết quả thực thi được rò rỉ qua các email phản hồi có tiêu đề 'Output'.
- Các email hướng dẫn thực hiện nhiệm vụ ban đầu sẽ bị xóa sau khi hoàn tất để loại bỏ dấu vết điều tra.
Dấu ấn phát triển nhất quán trên các nền tảng
Mặc dù có sự khác biệt về hệ điều hành và phương pháp triển khai, kiến trúc C2 cơ bản vẫn nhất quán giữa các phiên bản Windows và Linux. Các nhà nghiên cứu cũng đã quan sát thấy các lỗi chính tả được mã hóa cứng giống hệt nhau trong cả hai phiên bản, điều này cho thấy rất có thể có cùng một nhà phát triển hoặc nhóm phát triển đứng sau các công cụ này.
Ý nghĩa chiến lược: Mở rộng phạm vi tấn công
Việc giới thiệu một phần mềm độc hại dựa trên Linux cho thấy những nỗ lực không ngừng của Harvester trong việc đa dạng hóa khả năng và tăng cường tính linh hoạt trong hoạt động. Bằng cách nhắm mục tiêu vào nhiều hệ điều hành và tận dụng các dịch vụ đám mây đáng tin cậy, nhóm này đang tự định vị mình để xâm nhập vào nhiều môi trường hơn trong khi vẫn duy trì khả năng bị phát hiện thấp.
Sự phát triển này nhấn mạnh sự tinh vi ngày càng tăng của các tác nhân đe dọa hiện đại và nhu cầu về các biện pháp phòng thủ an ninh mạng thích ứng, dựa trên hành vi.
