GoGra Linux 後門
名為「收割者」(Harvester)的威脅組織被發現與其新發現的Linux版GoGra後門程式有關,顯示其網路間諜活動正在持續擴張。據信,這些攻擊主要針對南亞地區的實體,取證證據指向印度和阿富汗境內的活動。這顯示該組織正針對這些地區的組織進行有針對性的情報收集活動。
目錄
透過可信任管道進行隱蔽攻擊:濫用雲端基礎設施
這次攻擊活動的一個顯著特點是濫用合法雲端服務進行隱蔽通訊。惡意軟體利用 Microsoft Graph API 和 Outlook 信箱建立隱藏的命令與控制 (C2) 通道。透過將惡意通訊嵌入受信任的平台,攻擊者有效地繞過了傳統的邊界防禦,從而顯著增加了偵測難度。
從 Graphon 到 GoGra:威脅行為者的演變
Harvester 組織於 2021 年底首次引起公眾關注,當時它與一起針對南亞電信、政府和 IT 行業的竊取資訊活動有關。在此期間,該組織部署了一種名為 Graphon 的客製化植入程序,該程序還利用 Microsoft Graph API 進行 C2 通訊。
2024年8月,進一步的活動將該組織與針對該地區一家媒體機構的行動聯繫起來。此次行動引入了GoGra ,這是一個先前未知的基於Go語言的後門程式。最新發現證實,Harvester已將這種能力擴展到Windows環境之外,現在正在部署同一惡意軟體家族的Linux特定變種。
欺騙性入侵:社會工程學和執行策略
初始感染主要依賴社會工程學技巧。受害者會被誘騙開啟偽裝成 PDF 文件的 ELF 二進位檔案。一旦執行,投放器會顯示一個誘餌文件以維持合法性的假象,同時在後台悄悄部署後門。
命令控制工作流程:精準與堅持
GoGra 的 Linux 版本在通訊邏輯和操作流程方面與其 Windows 版本完全相同。它會與一個名為「Zomato Pizza」的指定 Outlook 郵箱資料夾進行交互,並透過開放資料協定 (OData) 查詢每兩秒輪詢一次。該惡意軟體會監控傳入郵件,並僅處理符合特定條件的郵件:
- 主旨行以「輸入」開頭的電子郵件被辨識為任務指令。
跨平台一致的開發指紋
儘管作業系統和部署方式有所不同,但Windows和Linux版本之間的底層C2架構保持一致。研究人員還發現兩個版本中存在相同的硬編碼拼字錯誤,這強烈表明這兩個工具背後可能存在同一個開發者或開發團隊。
戰略意義:擴大攻擊面
引進基於 Linux 的後門程式凸顯了 Harvester 組織為拓展自身能力、提升營運彈性而持續做出的努力。透過針對多種作業系統並利用可信任雲端服務,該組織旨在攻擊更廣泛的環境,同時保持較低的被發現風險。
這一演變凸顯了現代威脅行為者日益複雜的手段,以及對適應性強、基於行為的網路安全防禦的必要性。
