“收割者” 利用微软图形 API 在南亚部署 Linux 版 GoGra 后门程序
- 浏览次数 21
- 喜欢 0
HackerNews 编译,转载请注明出处:
名为 “收割者”(Harvester)的威胁行为者推出了其 GoGra 后门程序的全新 Linux 版本,并将其用于可能针对南亚实体的攻击活动。
赛门铁克(Symantec)和炭黑(Carbon Black)威胁猎手团队在与 The Hacker News 分享的一份报告中指出:“该恶意软件利用合法的微软图形 API(Microsoft Graph API)和 Outlook 邮箱作为隐蔽的命令与控制(C2)通道,借此绕过传统的网络边界防御。”
这家网络安全公司表示,已识别出从印度和阿富汗上传至 VirusTotal 平台的相关文件,这表明这两个国家可能是此次间谍活动的目标。
2021 年末,赛门铁克首次公开记录了 “收割者”,将其与自 2021 年 6 月以来针对南亚电信、政府和信息技术部门的信息窃取活动联系起来,当时使用的是一款名为 Graphon 的定制植入程序,该程序利用微软图形 API 进行命令与控制。
2024 年 8 月发现的后续活动表明,该黑客组织使用一种此前从未见过的基于 Go 语言的后门程序 GoGra,对南亚一家未具名的媒体机构发动攻击。最新调查结果显示,该对手正持续扩充其工具集,不再局限于 Windows 系统,开始使用同一后门程序的新变种感染 Linux 机器。
这些攻击采用社会工程学手段,诱骗受害者打开伪装成 PDF 文档的 ELF 二进制文件。释放器会在显示诱饵文档的同时,悄然运行后门程序。
与 Windows 版本类似,Linux 版的 GoGra 滥用微软云基础设施,每两秒通过开放数据协议(OData)查询,与名为 “Zomato Pizza” 的特定 Outlook 邮箱文件夹进行联系。该后门程序会扫描收件箱中主题行以 “Input” 开头的电子邮件。
一旦收到符合标准的邮件,它会解密经过 Base64 编码的邮件正文,并使用 “/bin/bash” 将其作为 shell 命令执行。执行结果会以主题为 “Output” 的电子邮件发送回操作者。数据渗出步骤完成后,植入程序会删除原始任务邮件以掩盖踪迹。
赛门铁克和炭黑表示:“尽管部署架构和操作系统不同,但底层的命令与控制逻辑保持不变。” 团队还指出,“在两个平台上都发现了一些相同的硬编码拼写错误,这表明两款工具背后是同一开发者。”
“新 Linux 后门程序的使用表明,‘收割者’持续扩充其工具集,并积极开发新工具,以瞄准更广泛的受害者和设备。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文