มัลแวร์ GoGra เวอร์ชัน Linux ใช้โครงสร้างพื้นฐานของ Microsoft ที่ถูกต้องตามปกติ โดยอาศัย Outlook Inbox ในการส่งมัลแวร์อย่างลับ ๆ
มัลแวร์นี้พัฒนาโดยกลุ่ม Harvester ซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์ที่เชื่อกันว่าได้รับการสนับสนุนจากรัฐบาล และถือว่าหลบเลี่ยงการตรวจจับได้สูงมาก เนื่องจากมีการนำ Microsoft Graph API มาใช้ในการเข้าถึงข้อมูลใน Inbox
Harvester เริ่มมีบทบาทมาตั้งแต่ปี 2021 และเป็นที่รู้จักจากการใช้เครื่องมืออันตรายที่พัฒนาขึ้นเอง ทั้งในรูปแบบของ Backdoors และ Loaders ในแคมเปญการโจมตีที่มุ่งเป้าไปยังองค์กรโทรคมนาคม, หน่วยงานรัฐบาล และบริษัทด้านไอทีในภูมิภาคเอเชียใต้
นักวิจัยจาก Symantec ได้วิเคราะห์ตัวอย่างมัลแวร์ GoGra backdoor บน Linux ที่ดึงมาจาก VirusTotal และพบว่าขั้นตอนการเข้าถึงระบบในตอนแรกนั้นทำโดยการหลอกให้เหยื่อเรียกใช้ไฟล์ ELF binaries ที่ปลอมเป็นไฟล์ PDF
การใช้ประโยชน์จาก Microsoft Graph API
นักวิจัยของ Symantec รายงานว่า มัลแวร์ GoGra เวอร์ชัน Linux ใช้ข้อมูล Azure Active Directory (AD) Credentials ที่ถูกกำหนดไว้ล่วงหน้าเพื่อยืนยันตัวตนกับระบบคลาวด์ของ Microsoft และรับ Token OAuth2 ซึ่งทำให้สามารถโต้ตอบกับ Outlook Inbox ผ่าน Microsoft Graph API ได้
ในขั้นตอนแรกของการโจมตี Dropper ที่เขียนด้วยภาษา Go จะติดตั้ง Payload i386 และแฝงตัวอยู่บนในระบบผ่าน 'systemd' และ XDG autostart entry โดยปลอมตัวเป็นโปรแกรม Conky ซึ่งเป็นเครื่องมือมอนิเตอร์ระบบที่ถูกต้องของ Linux และ BSD
นักวิจัยระบุว่า มัลแวร์จะทำการตรวจสอบโฟลเดอร์ใน Outlook Inbox ที่ชื่อว่า “Zomato Pizza” ทุก ๆ สองวินาที โดยใช้การค้นหาแบบ OData เพื่อระบุอีเมลขาเข้าที่มี Subject ขึ้นต้นด้วยคำว่า “Input” จากนั้นมัลแวร์จะถอดรหัสเนื้อหาอีเมลที่ถูกเข้ารหัสแบบ Base64 และ AES-CBC เพื่อดำเนินการคำสั่งที่ได้ในเครื่องของเหยื่อ
ผลลัพธ์จากการดำเนินการคำสั่งจะถูกเข้ารหัสด้วย AES และส่งกลับไปยังผู้ควบคุมผ่านการตอบกลับอีเมลโดยใช้หัวข้อว่า “Output”
เพื่อลดร่องรอยในการตรวจสอบทางนิติวิทยาศาสตร์ มัลแวร์จะส่ง HTTP DELETE request เพื่อลบอีเมลคำสั่งต้นฉบับทิ้งทันทีหลังจากประมวลผลเสร็จสิ้น
Symantec เน้นย้ำว่า GoGra เวอร์ชัน Linux มี Codebase ที่แทบจะเหมือนกับเวอร์ชัน Windows รวมถึงมีการสะกดคำผิดในสตริง และชื่อฟังก์ชันที่เป็นจุดเดียวกัน รวมถึงใช้คีย์ AES เดียวกันด้วย
สิ่งนี้แสดงให้เห็นอย่างชัดเจนว่ามัลแวร์ทั้งสองตัวถูกสร้างขึ้นโดยนักพัฒนาคนเดียวกัน ซึ่งชี้เป้าไปที่กลุ่ม Harvester
Symantec มองว่าการปรากฏตัวของ GoGra เวอร์ชัน Linux เป็นสัญญาณบ่งชี้ว่า Harvester กำลังขยายชุดเครื่องมือ และขอบเขตเป้าหมายเพื่อเข้าถึงระบบที่หลากหลายมากขึ้นกว่าเดิม
ที่มา : Bleepingcomputer
You must be logged in to post a comment.