کمیته رکن چهارم – نسخه لینوکسی بکدور GoGra شناسایی شده که با سوءاستفاده از سرویس Outlook و Microsoft Graph API، دستورات مخرب را بهصورت مخفیانه اجرا میکند. این بدافزار با استفاده از زیرساختهای قانونی، شناسایی را برای ابزارهای امنیتی دشوار میسازد.
به گزارش کمیته رکن چهارم، این بدافزار به یک گروه جاسوسی نسبت داده شده که از سال ۲۰۲۱ فعال بوده و سازمانهایی در حوزههای مخابرات، فناوری اطلاعات و نهادهای دولتی را هدف قرار داده است. در این حملات، مهاجمان با فریب کاربران، آنها را به اجرای یک فایل اجرایی لینوکس (ELF) که بهصورت یک فایل PDF جعلی پنهان شده، ترغیب میکنند.
پس از اجرای فایل، یک dropper مبتنی بر زبان Go فعال شده و payload اصلی را روی سیستم نصب میکند. این بدافزار برای حفظ دسترسی خود از مکانیزمهایی مانند systemd و XDG autostart استفاده کرده و خود را بهعنوان یک ابزار قانونی مانیتورینگ سیستم معرفی میکند.
در بخش ارتباط با سرور فرماندهی، این بدافزار بهجای استفاده از زیرساختهای مرسوم، از ایمیل Outlook بهره میبرد. به این صورت که بهطور مداوم یک پوشه ایمیل مشخص را بررسی کرده، پیامهای رمزگذاریشده را دریافت و پس از رمزگشایی، دستورات را اجرا میکند. سپس نتیجه اجرای دستورات را مجدداً رمزگذاری کرده و از طریق پاسخ ایمیل ارسال میکند. برای کاهش احتمال شناسایی، پیامهای دریافتی پس از اجرا حذف میشوند.
یک منبع مطلع از این پرونده که به دلایل امنیتی نخواست نامش فاش شود به کمیته رکن چهارم گفت: «استفاده از سرویسهای ابری معتبر بهعنوان کانال ارتباطی، تشخیص این نوع بدافزارها را بهطور قابلتوجهی پیچیدهتر کرده است.»
پیشینه
در سالهای اخیر، استفاده از سرویسهای ابری و APIهای رسمی بهعنوان بستر ارتباطی در حملات سایبری افزایش یافته است. این روش که بهعنوان «سوءاستفاده از زیرساختهای قانونی» شناخته میشود، به مهاجمان امکان میدهد فعالیتهای خود را در میان ترافیک عادی پنهان کنند.
جمعبندی
این بدافزار نمونهای از تغییر رویکرد در حملات سایبری است که در آن مهاجمان با استفاده از ابزارها و سرویسهای معتبر، سطح پنهانکاری خود را افزایش میدهند و شناسایی را برای سامانههای دفاعی دشوارتر میکنند.
منبع: BleepingComputer
