Harvesterの脅威グループが再び現れました。従来の防御パラメータを回避するように設計された高度な手段を保有しています。セキュリティ研究者は、 Linux用のGoGaバックドアの新しいバージョンを特定しました。これはMicrosoftエコシステムを通じた正当なトラフィックになりすますことで、その存在を密かに隠しています。
アンチウイルス&マルウェア
SymantecとCarbon Black Threat Hunterの共同調査により、この発見とWindowsを標的とした以前のスパイ活動キャンペーンとの明確な系統が確立されました。ソースコード内の構造的一致は非常に明確で、共通の起源に疑いの余地がありません。少なくとも2021年以来活動しており、国家に後援されていると思われるこのグループは、その兵器庫を積極的に多様化させており、高度なクロスプラットフォーム能力を示しています。
初期のマルウェアサンプルがこれらの特定の地域からVirusTotalにアップロードされたため、これらの侵入は主にインドとアフガニスタンを標的としていることが示唆されています。この地理的焦点は、彼らのおとり捜査の局所化によってさらに証拠立てられています。攻撃者は、地域の感受性と共鳴するようにドキュメントテーマをカスタマイズしており、人気のあるインド配送サービスを参照する「Zomato Pizza」というタイトルのファイル、およびイスラム巡礼に関連する「umrah.pdf」を含めています。
初期アクセスは、入念に作成されたソーシャルエンジニアリングを通じて達成されます。攻撃者は、無害なドキュメントに見えますが、実際には実行可能なペイロードであるファイルを配布します。基本的だが効果的な難読化技術には、スペースの前に「.pdf」拡張子を追加することが含まれます。その結果、システムは実行可能なELFファイルを識別しますが、ユーザーはドキュメントを知覚するように欺かれます。実行時に、Goベースのドロッパーは約5.9MBのプライマリモジュールをデプロイし、Conkyシステムモニターに偽装しながらsystemdおよびXDGオートスタートを通じて永続性を確立します。
この更新されたバージョンの定義特性は、Microsoft Graph APIとOutlookメールボックスを活用するコマンドアンドコントロール(C2)チャネルです。マルウェアはハードコードされたAzure AD認証情報を使用してOAuth2トークンを取得し、「Zomato Pizza」などの特定のメールディレクトリを体系的にポーリングして指示を受け取ります。
指示は「Input」というプレフィックスが付いたサブジェクトを持つメールを通じて配信され、その後、bashシェルを通じて復号化および実行されます。その後、結果は暗号化され、「Output」というタイトルの返信で流出され、その後、元のメッセージが削除され、すべてのフォレンジック痕跡が消滅します。
比較分析により、GoGraのLinuxおよびWindowsバージョンはほぼ同じロジックを共有していることが明らかになりました。コード内の同義語的オーソグラフィックエラーの存在と同じ関数命名法は、単一の開発者を強く示唆しています。矛盾は、アーキテクチャの詳細、ポーリング間隔、ディレクトリ名などの実装の詳細に限定されます。
スマートデバイスセキュリティ
Linuxベースのバリアントの出現は、Harvesterがより広範なシステムをカバーするために機能を急速に拡張していることを強調しています。南アジアに対する彼らの焦点は堅固なままですが、彼らの方法論は従来のセキュリティソリューションに対してますます知覚不可能になり続けています。
