شناسایی بدافزار جدید GoGra لینوکس توسط سیمانتک؛ گسترش توانمندیهای گروه تهدید Harvester
شناسایی بدافزار جدید GoGra لینوکس توسط سیمانتک؛ گسترش توانمندیهای گروه تهدید Harvester
در دنیای پیچیده امنیت سایبری، گروههای تهدید مبتنی بر دولتها همواره در حال توسعه ابزارهای خود برای نفوذ به زیرساختهای حیاتی و جمعآوری اطلاعات هستند. یکی از این گروهها که با نام Harvester شناخته میشود، از سال ۲۰۲۱ فعالیت خود را آغاز کرده و تاکنون با استفاده از بدافزارهای سفارشی و ابزارهای عمومی، اهداف متعددی را در منطقه جنوب آسیا مورد حمله قرار داده است. به تازگی، تیم شکار تهدید سیمانتک و Carbon Black یک بدافزار جدید و بسیار پیشرفته را کشف کردهاند که نسخه لینوکسی از backdoor معروف GoGra محسوب میشود. این بدافزار که با زبان برنامهنویسی Go نوشته شده، از زیرساخت قانونی مایکروسافت یعنی Microsoft Graph API و صندوقهای پستی Outlook به عنوان کانال فرماندهی و کنترل (C2) پنهان استفاده میکند. چنین رویکردی به مهاجم اجازه میدهد تا از بسیاری از دفاعهای محیطی سنتی مانند فایروالها و سیستمهای تشخیص نفوذ عبور کند، زیرا ترافیک تولید شده توسط بدافزار شبیه به ترافیک عادی برنامههای مجاز مانند Outlook یا Teams به نظر میرسد. سیمانتک با تحلیل دقیق این تهدید جدید، نشان داده است که گروه Harvester در حال گسترش تواناییهای خود به پلتفرمهای مختلف است و این بدافزار جدید، تهدیدی جدی برای سازمانهایی محسوب میشود که از سیستمهای لینوکس در زیرساخت خود استفاده میکنند. به بررسی جزئیات فنی این بدافزار، روشهای نفوذ، قابلیتهای پلتفرم آن و راهکارهای مقابله که توسط سیمانتک ارائه شده است، میپردازیم.
زنجیره حمله و روشهای فریب؛ چگونه بدافزار GoGra لینوکس وارد سیستم میشود؟
بر اساس گزارش تیم سیمانتک، گروه Harvester برای دستیابی اولیه به شبکه قربانی، از تکنیکهای مهندسی اجتماعی و اسناد فریبنده (Decoy Documents) استفاده میکند. مهاجمان فایلهای مخرب ELF (فرمت اجرایی لینوکس) را با افزودن پسوندهایی مانند «.pdf» به همراه یک فاصله ظریف بین نام فایل و پسوند، به گونهای نامگذاری میکنند که کاربر تصور کند در حال باز کردن یک سند PDF استاندارد است. در عمل، این فایل به عنوان یک باینری لینوکس اجرا میشود. نمونههایی از نامهای فایل فریبنده که توسط سیمانتک شناسایی شده است عبارتند از: «TheExternalAffairesMinister.pdf»، «Details Format.pdf»، و حتی «umrah.pdf» که به سفر زیارتی مسلمانان اشاره دارد. یکی از قابل توجهترین اسناد فریبنده، فایلی بود که خود را به عنوان مطالب مربوط به سرویس تحویل غذای محبوب هندی Zomato Pizza جا میزد. این رویکرد هدفمند نشان میدهد که قربانیان اصلی این کمپین در منطقه جنوب آسیا، به ویژه هند و افغانستان، قرار داشتهاند. پس از اجرای فایل dropper که با زبان Go نوشته شده است، بدافزار یک payload داخلی به اندازه تقریبی ۵.۹ مگابایت (i386 executable) را در مسیر ~/.config/systemd/user/userservice ذخیره میکند. برای اطمینان از اجرا شدن بدافزار پس از راهاندازی مجدد سیستم، مهاجم یک واحد سیستمد (systemd user unit) و یک ورودی autostart XDG ایجاد میکند که خود را به عنوان مانیتور قانونی سیستم لینوکس به نام Conky جعل میکند. این تکنیکهای پنهانسازی نشان از بلوغ بالای گروه Harvester دارد و ضرورت استفاده از راهکارهای امنیتی پیشرفته مانند آنچه نمایندگی سیمانتک ارائه میدهد را دوچندان میکند.
سوءاستفاده از زیرساخت مایکروسافت؛ کانال فرماندهی و کنترل پنهان با Microsoft Graph API
یکی از دقیق ترین و نگرانکنندهترین ویژگیهای بدافزار GoGra لینوکس، استفاده از Microsoft Graph API و صندوقهای پستی Outlook به عنوان کانال ارتباطی C2 است. این بدافزار دارای اعتبارنامههای سختکد شده و متنی (plaintext) برنامه Azure AD شامل شناسه مستأجر (tenant ID)، شناسه کلاینت (client ID) و رمز کلاینت (client secret) است. این اعتبارنامهها به بدافزار اجازه میدهد تا توکنهای OAuth2 را از مایکروسافت درخواست کند. سپس با استفاده از پرس و جوهای OData (Open Data Protocol)، بدافزار یک پوشه صندوق پستی خاص با نام «Zomato Pizza» را هر دو ثانیه یک بار چک میکند. جالب است بدانید که نسخه ویندوزی این بدافزار از پوشهای با نام «Dragan Dash» استفاده میکرده که نام یک رستوران تحویل غذا در شهر حیدرآباد هند است. بدافزار به دنبال ایمیلهایی با خط موضوع (subject line) شروع شونده با کلمه «Input» میگردد. پس از دریافت چنین ایمیلی، بدافزار بدنه پیام (که به صورت base64 کدگذاری شده) را با استفاده از رمزنگاری AES-CBC (با کلید ثابت b14ca5898a4e4133bbce2ea2315a1916) رمزگشایی کرده و دستور را از طریق /bin/bash -c روی میزبان اجرا میکند. نتایج اجرا نیز با همان کلید AES رمزگذاری شده و از طریق ارسال یک پیام پاسخ با خط موضوع «Output» به مهاجم بازگردانده میشود. برای پاک کردن ردپای خود، بدافزار یک فرمان HTTP DELETE ارسال کرده و پیام وظیفه اصلی را از صندوق پستی پاک میکند. این روش ارتباطی، کشف ترافیک مخرب را برای ابزارهای امنیتی سنتی بسیار دشوار میسازد و تنها راهکارهای پیشرفته مانند سیمانتک اندپوینت پروتکشن که قادر به تحلیل رفتار و شناسایی ناهنجاریهای سطح برنامه هستند، میتوانند چنین تهدیداتی را خنثی کنند.
قابلیتهای پلتفرم و شباهت کد ویندوز و لینوکس
تحلیل تیم سیمانتک نشان میدهد که بدافزار جدید لینوکس GoGra و یک نمونه قبلی ویندوزی آن، اشتراکات بسیار زیادی در سطح کد دارند که حاکی از استراتژی توسعه چندپلتفرمی توسط گروه Harvester است. با وجود تفاوت در معماری سیستمعامل و روشهای استقرار، منطق اصلی C2 در هر دو نسخه بدون تغییر باقی مانده است. تحلیلگران همچنین غلطهای املایی یکسانی را در هر دو پلتفرم شناسایی کردهاند که نشان میدهد یک توسعهدهنده پشت هر دو ابزار قرار دارد. از جمله این غلطهای املایی مشترک میتوان به رشتههای json:"@odata.ontext" (به جای @odata.context)، error occured in decryption : (به جای occurred) و Commad Executed (به جای Command) اشاره کرد. همچنین نام توابع ExcuteCommand و DeleteingMessage در هر دو نسخه به صورت اشتباه املایی شدهاند. جدول مقایسه زیر (که در متن اصلی آمده) تفاوتهای کلیدی مانند دوره تناوب بیکن (در لینوکس ۲ ثانیه و در ویندوز هنگام دریافت پاسخ HTTP 204، ۵ دقیقه)، نام پوشه صندوق پستی هدف و کلید رمزگذاری یکسان را نشان میدهد. این شباهتها اثبات میکند که سیمانتک با تجزیه و تحلیل عمیق، توانسته است ارتباط بین این دو کمپین را کشف کند. این قابلیت تحلیل و همبستگی تهدیدات، یکی از ارزشهای افزوده نمایندگی سیمانتک برای سازمانهایی است که با تهدیدات پیشرفته و پایدار (APT) مواجه هستند. با توجه به اینکه گروه Harvester علاقه خود را به منطقه جنوب آسیا حفظ کرده است، سازمانهای دولتی، نظامی و زیرساختی در ایران نیز باید نسبت به این تهدید هوشیار باشند و از راهکارهای امنیتی به روز مانند محصولات سیمانتک استفاده کنند.
راهکارهای حفاظتی سیمانتک
توسعه نسخه لینوکسی بدافزار GoGra توسط گروه Harvester نشاندهنده روند رو به رشد گروههای تهدید به سمت قابلیتهای پلتفرم است. هدف این گروه، آلوده کردن طیف وسیعتری از قربانیان، از جمله سرورهای لینوکسی، ایستگاههای کاری و دستگاههای (Embedded) است. استفاده از زیرساختهای قانونی مانند Microsoft Graph API برای C2، این بدافزار را به یک تهدید «کم نور و کم صدا» (Low and Slow) تبدیل کرده که کشف آن با روشهای سنتی بسیار دشوار است. خوشبختانه، سیمانتک با بهرهگیری از تیمهای تخصصی شکار تهدید (Threat Hunter) و تحلیل رفتاری، توانسته است این بدافزار را شناسایی و شاخصهای آلودگی (Indicators of Compromise) آن را منتشر کند. سیمانتک اندپوینت سکیوریتی با استفاده از فناوریهای پیشرفته مانند تشخیص ناهنجاریهای شبکه، تحلیل رفتار فرآیندها و محافظت در برابر سوءاستفاده از APIهای قانونی، قادر به مسدود کردن چنین تهدیداتی است. آلما شبکه نمایندگی سیمانتک در ایران میتواند با ارائه این محصولات و خدمات مدیریت امنیت، به سازمانها کمک کند تا در برابر حملات APT مصون بمانند. توصیه میشود سازمانها نسبت به بهروزرسانی امضاهای ضدبدافزار، اعمال تنظیمات پیشرفته بر روی پست الکترونیک برای شناسایی ایمیلهای حاوی دستورات کنترل از راه دور، و محدود کردن دسترسی به Microsoft Graph API در صورت عدم نیاز تجاری، اقدام کنند. همچنین استفاده از راهکارهای سیمانتک برای نظارت بر ترافیک خروجی و شناسایی الگوهای مشکوک مانند درخواستهای مکرر OData به صندوقهای پستی ناشناس، میتواند از بروز یک فاجعه سایبری جلوگیری کند. برای دریافت مشاوره و خرید محصولات سیمانتک، با نمایندگی سیمانتک شرکت آلما شبکه تماس بگیرید.