GoGra Linux 后门
名为“收割者”(Harvester)的威胁组织被发现与其新近发现的Linux版GoGra后门程序有关,这表明其网络间谍活动正在持续扩张。据信,这些攻击主要针对南亚地区的实体,取证证据指向印度和阿富汗境内的活动。这表明该组织正针对这些地区的组织开展有针对性的情报收集活动。
目录
通过可信渠道进行隐蔽攻击:滥用云基础设施
此次攻击活动的一个显著特点是滥用合法云服务进行隐蔽通信。恶意软件利用 Microsoft Graph API 和 Outlook 邮箱构建隐蔽的命令与控制 (C2) 通道。通过将恶意通信嵌入受信任的平台,攻击者有效地绕过了传统的边界防御,从而显著增加了检测难度。
从 Graphon 到 GoGra:威胁行为者的演变
Harvester 于 2021 年末首次引起公众关注,当时它与一起针对南亚电信、政府和 IT 行业的窃取信息活动有关。在此期间,该组织部署了一种名为 Graphon 的定制植入程序,该程序还利用 Microsoft Graph API 进行 C2 通信。
2024年8月,进一步的活动将该组织与针对该地区一家媒体机构的行动联系起来。此次行动引入了GoGra ,一种此前未知的基于Go语言的后门程序。最新发现证实,Harvester已将这种能力扩展到Windows环境之外,现在正在部署同一恶意软件家族的Linux特定变种。
欺骗性入侵:社会工程学和执行策略
初始感染主要依赖于社会工程学技巧。受害者会被诱骗打开伪装成 PDF 文档的 ELF 二进制文件。一旦执行,投放器会显示一个诱饵文档以维持合法性的假象,同时在后台悄悄部署后门。
命令控制工作流程:精准与坚持
GoGra 的 Linux 版本在通信逻辑和操作流程方面与其 Windows 版本完全相同。它会与一个名为“Zomato Pizza”的指定 Outlook 邮箱文件夹进行交互,并通过开放数据协议 (OData) 查询每两秒轮询一次。该恶意软件会监控传入邮件,并仅处理符合特定条件的邮件:
- 主题行以“输入”开头的电子邮件被识别为任务指令。
跨平台一致的开发指纹
尽管操作系统和部署方式有所不同,但Windows和Linux版本之间的底层C2架构保持一致。研究人员还发现两个版本中存在相同的硬编码拼写错误,这强烈表明这两个工具背后可能存在同一个开发者或开发团队。
战略意义:扩大攻击面
引入基于 Linux 的后门程序凸显了 Harvester 组织为拓展自身能力、提升运营灵活性而持续做出的努力。通过针对多种操作系统并利用可信云服务,该组织旨在攻击更广泛的环境,同时保持较低的被发现风险。
这一演变凸显了现代威胁行为者日益复杂的手段,以及对适应性强、基于行为的网络安全防御的必要性。
