شناسایی بدافزار جدید GoGra لینوکس توسط سیمانتک؛ گسترش توانمندی‌های گروه تهدید Harvester

شناسایی بدافزار جدید GoGra لینوکس توسط سیمانتک؛ گسترش توانمندی‌های گروه تهدید Harvester

شناسایی بدافزار جدید GoGra لینوکس توسط سیمانتک؛ گسترش توانمندی‌های گروه تهدید Harvester

در دنیای پیچیده امنیت سایبری، گروه‌های تهدید مبتنی بر دولت‌ها همواره در حال توسعه ابزارهای خود برای نفوذ به زیرساخت‌های حیاتی و جمع‌آوری اطلاعات هستند. یکی از این گروه‌ها که با نام Harvester شناخته می‌شود، از سال ۲۰۲۱ فعالیت خود را آغاز کرده و تاکنون با استفاده از بدافزارهای سفارشی و ابزارهای عمومی، اهداف متعددی را در منطقه جنوب آسیا مورد حمله قرار داده است. به تازگی، تیم شکار تهدید سیمانتک و Carbon Black یک بدافزار جدید و بسیار پیشرفته را کشف کرده‌اند که نسخه لینوکسی از backdoor معروف GoGra محسوب می‌شود. این بدافزار که با زبان برنامه‌نویسی Go نوشته شده، از زیرساخت قانونی مایکروسافت یعنی Microsoft Graph API و صندوق‌های پستی Outlook به عنوان کانال فرماندهی و کنترل (C2) پنهان استفاده می‌کند. چنین رویکردی به مهاجم اجازه می‌دهد تا از بسیاری از دفاع‌های محیطی سنتی مانند فایروال‌ها و سیستم‌های تشخیص نفوذ عبور کند، زیرا ترافیک تولید شده توسط بدافزار شبیه به ترافیک عادی برنامه‌های مجاز مانند Outlook یا Teams به نظر می‌رسد. سیمانتک با تحلیل دقیق این تهدید جدید، نشان داده است که گروه Harvester در حال گسترش توانایی‌های خود به پلتفرم‌های مختلف است و این بدافزار جدید، تهدیدی جدی برای سازمان‌هایی محسوب می‌شود که از سیستم‌های لینوکس در زیرساخت خود استفاده می‌کنند. به بررسی جزئیات فنی این بدافزار، روش‌های نفوذ، قابلیت‌های ‌پلتفرم آن و راهکارهای مقابله که توسط سیمانتک ارائه شده است، می‌پردازیم. 

 

زنجیره حمله و روش‌های فریب؛ چگونه بدافزار GoGra لینوکس وارد سیستم می‌شود؟

بر اساس گزارش تیم سیمانتک، گروه Harvester برای دستیابی اولیه به شبکه قربانی، از تکنیک‌های مهندسی اجتماعی و اسناد فریبنده (Decoy Documents) استفاده می‌کند. مهاجمان فایل‌های مخرب ELF (فرمت اجرایی لینوکس) را با افزودن پسوندهایی مانند «.pdf» به همراه یک فاصله ظریف بین نام فایل و پسوند، به گونه‌ای نام‌گذاری می‌کنند که کاربر تصور کند در حال باز کردن یک سند PDF استاندارد است. در عمل، این فایل به عنوان یک باینری لینوکس اجرا می‌شود. نمونه‌هایی از نام‌های فایل فریبنده که توسط سیمانتک شناسایی شده است عبارتند از: «TheExternalAffairesMinister.pdf»، «Details Format.pdf»، و حتی «umrah.pdf» که به سفر زیارتی مسلمانان اشاره دارد. یکی از قابل توجه‌ترین اسناد فریبنده، فایلی بود که خود را به عنوان مطالب مربوط به سرویس تحویل غذای محبوب هندی Zomato Pizza جا می‌زد. این رویکرد هدفمند نشان می‌دهد که قربانیان اصلی این کمپین در منطقه جنوب آسیا، به ویژه هند و افغانستان، قرار داشته‌اند. پس از اجرای فایل dropper که با زبان Go نوشته شده است، بدافزار یک payload داخلی به اندازه تقریبی ۵.۹ مگابایت (i386 executable) را در مسیر ~/.config/systemd/user/userservice ذخیره می‌کند. برای اطمینان از اجرا شدن بدافزار پس از راه‌اندازی مجدد سیستم، مهاجم یک واحد سیستمد (systemd user unit) و یک ورودی autostart XDG ایجاد می‌کند که خود را به عنوان مانیتور قانونی سیستم لینوکس به نام Conky جعل می‌کند. این تکنیک‌های پنهان‌سازی نشان از بلوغ بالای گروه Harvester دارد و ضرورت استفاده از راهکارهای امنیتی پیشرفته مانند آنچه نمایندگی سیمانتک ارائه می‌دهد را دوچندان می‌کند.

 

سوءاستفاده از زیرساخت مایکروسافت؛ کانال فرماندهی و کنترل پنهان با Microsoft Graph API

یکی از دقیق ترین و نگران‌کننده‌ترین ویژگی‌های بدافزار GoGra لینوکس، استفاده از Microsoft Graph API و صندوق‌های پستی Outlook به عنوان کانال ارتباطی C2 است. این بدافزار دارای اعتبارنامه‌های سخت‌کد شده و متنی (plaintext) برنامه Azure AD شامل شناسه مستأجر (tenant ID)، شناسه کلاینت (client ID) و رمز کلاینت (client secret) است. این اعتبارنامه‌ها به بدافزار اجازه می‌دهد تا توکن‌های OAuth2 را از مایکروسافت درخواست کند. سپس با استفاده از پرس و جوهای OData (Open Data Protocol)، بدافزار یک پوشه صندوق پستی خاص با نام «Zomato Pizza» را هر دو ثانیه یک بار چک می‌کند. جالب است بدانید که نسخه ویندوزی این بدافزار از پوشه‌ای با نام «Dragan Dash» استفاده می‌کرده که نام یک رستوران تحویل غذا در شهر حیدرآباد هند است. بدافزار به دنبال ایمیل‌هایی با خط موضوع (subject line) شروع شونده با کلمه «Input» می‌گردد. پس از دریافت چنین ایمیلی، بدافزار بدنه پیام (که به صورت base64 کدگذاری شده) را با استفاده از رمزنگاری AES-CBC (با کلید ثابت b14ca5898a4e4133bbce2ea2315a1916) رمزگشایی کرده و دستور را از طریق /bin/bash -c روی میزبان اجرا می‌کند. نتایج اجرا نیز با همان کلید AES رمزگذاری شده و از طریق ارسال یک پیام پاسخ با خط موضوع «Output» به مهاجم بازگردانده می‌شود. برای پاک کردن ردپای خود، بدافزار یک فرمان HTTP DELETE ارسال کرده و پیام وظیفه اصلی را از صندوق پستی پاک می‌کند. این روش ارتباطی، کشف ترافیک مخرب را برای ابزارهای امنیتی سنتی بسیار دشوار می‌سازد و تنها راهکارهای پیشرفته مانند سیمانتک اندپوینت پروتکشن که قادر به تحلیل رفتار و شناسایی ناهنجاری‌های سطح برنامه هستند، می‌توانند چنین تهدیداتی را خنثی کنند.

 

قابلیت‌های ‌پلتفرم و شباهت کد ویندوز و لینوکس

تحلیل تیم سیمانتک نشان می‌دهد که بدافزار جدید لینوکس GoGra و یک نمونه قبلی ویندوزی آن، اشتراکات بسیار زیادی در سطح کد دارند که حاکی از استراتژی توسعه چندپلتفرمی توسط گروه Harvester است. با وجود تفاوت در معماری سیستمعامل و روش‌های استقرار، منطق اصلی C2 در هر دو نسخه بدون تغییر باقی مانده است. تحلیلگران همچنین غلط‌های املایی یکسانی را در هر دو پلتفرم شناسایی کرده‌اند که نشان می‌دهد یک توسعه‌دهنده پشت هر دو ابزار قرار دارد. از جمله این غلط‌های املایی مشترک می‌توان به رشته‌های json:"@odata.ontext" (به جای @odata.context)، error occured in decryption : (به جای occurred) و Commad Executed (به جای Command) اشاره کرد. همچنین نام توابع ExcuteCommand و DeleteingMessage در هر دو نسخه به صورت اشتباه املایی شده‌اند. جدول مقایسه زیر (که در متن اصلی آمده) تفاوت‌های کلیدی مانند دوره تناوب بیکن (در لینوکس ۲ ثانیه و در ویندوز هنگام دریافت پاسخ HTTP 204، ۵ دقیقه)، نام پوشه صندوق پستی هدف و کلید رمزگذاری یکسان را نشان می‌دهد. این شباهت‌ها اثبات می‌کند که سیمانتک با تجزیه و تحلیل عمیق، توانسته است ارتباط بین این دو کمپین را کشف کند. این قابلیت تحلیل و همبستگی تهدیدات، یکی از ارزش‌های افزوده نمایندگی سیمانتک برای سازمان‌هایی است که با تهدیدات پیشرفته و پایدار (APT) مواجه هستند. با توجه به اینکه گروه Harvester علاقه خود را به منطقه جنوب آسیا حفظ کرده است، سازمان‌های دولتی، نظامی و زیرساختی در ایران نیز باید نسبت به این تهدید هوشیار باشند و از راهکارهای امنیتی به روز مانند محصولات سیمانتک استفاده کنند.

 

راهکارهای حفاظتی سیمانتک

توسعه نسخه لینوکسی بدافزار GoGra توسط گروه Harvester نشان‌دهنده روند رو به رشد گروه‌های تهدید به سمت قابلیت‌های ‌پلتفرم است. هدف این گروه، آلوده کردن طیف وسیع‌تری از قربانیان، از جمله سرورهای لینوکسی، ایستگاه‌های کاری و دستگاه‌های (Embedded) است. استفاده از زیرساخت‌های قانونی مانند Microsoft Graph API برای C2، این بدافزار را به یک تهدید «کم نور و کم صدا» (Low and Slow) تبدیل کرده که کشف آن با روش‌های سنتی بسیار دشوار است. خوشبختانه، سیمانتک با بهره‌گیری از تیم‌های تخصصی شکار تهدید (Threat Hunter) و تحلیل رفتاری، توانسته است این بدافزار را شناسایی و شاخص‌های آلودگی (Indicators of Compromise) آن را منتشر کند. سیمانتک اندپوینت سکیوریتی با استفاده از فناوری‌های پیشرفته مانند تشخیص ناهنجاری‌های شبکه، تحلیل رفتار فرآیندها و محافظت در برابر سوءاستفاده از API‌های قانونی، قادر به مسدود کردن چنین تهدیداتی است. آلما شبکه نمایندگی سیمانتک در ایران می‌تواند با ارائه این محصولات و خدمات مدیریت امنیت، به سازمان‌ها کمک کند تا در برابر حملات APT مصون بمانند. توصیه می‌شود سازمان‌ها نسبت به به‌روزرسانی امضاهای ضدبدافزار، اعمال تنظیمات پیشرفته بر روی پست الکترونیک برای شناسایی ایمیل‌های حاوی دستورات کنترل از راه دور، و محدود کردن دسترسی به Microsoft Graph API در صورت عدم نیاز تجاری، اقدام کنند. همچنین استفاده از راهکارهای سیمانتک برای نظارت بر ترافیک خروجی و شناسایی الگوهای مشکوک مانند درخواست‌های مکرر OData به صندوق‌های پستی ناشناس، می‌تواند از بروز یک فاجعه سایبری جلوگیری کند. برای دریافت مشاوره و خرید محصولات سیمانتک، با نمایندگی سیمانتک شرکت آلما شبکه تماس بگیرید.

بازخوردها
    ارسال نظر
    (بعد از تائید مدیر منتشر خواهد شد)
    • - نشانی ایمیل شما منتشر نخواهد شد.
    • - لطفا دیدگاهتان تا حد امکان مربوط به مطلب باشد.
    • - لطفا فارسی بنویسید.
    • - میخواهید عکس خودتان کنار نظرتان باشد؟ به gravatar.com بروید و عکستان را اضافه کنید.
    • - نظرات شما بعد از تایید مدیریت منتشر خواهد شد