Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Linux Porte dérobée GoGra Linux

Porte dérobée GoGra Linux

Par Mezo en Logiciels malveillants Linux, Menace persistante avancée (APT), Portes dérobées
Se traduisent par :

Le groupe de cybercriminels Harvester a été associé à une nouvelle variante Linux de sa porte dérobée GoGra, signe d'une expansion continue de ses opérations de cyberespionnage. Ces attaques cibleraient principalement des entités en Asie du Sud, les preuves numériques pointant vers une activité provenant d'Inde et d'Afghanistan. Ceci suggère une campagne de collecte de renseignements ciblée visant des organisations dans ces régions.

Utilisation furtive des canaux de confiance : abus de l’infrastructure cloud

L'une des caractéristiques principales de cette campagne est l'utilisation abusive de services cloud légitimes à des fins de communication clandestine. Le logiciel malveillant exploite l'API Microsoft Graph ainsi que les boîtes mail Outlook comme canal de commande et de contrôle (C2) dissimulé. En intégrant des communications malveillantes au sein de plateformes de confiance, les attaquants contournent efficacement les défenses périmétriques traditionnelles, rendant la détection beaucoup plus difficile.

De Graphon à GoGra : Évolution d’un acteur de la menace

Harvester s'est fait connaître du grand public fin 2021, lorsqu'il a été impliqué dans une campagne de vol d'informations ciblant les secteurs des télécommunications, des gouvernements et des technologies de l'information en Asie du Sud. Durant cette phase, le groupe a déployé un implant personnalisé appelé Graphon, qui utilisait également l'API Microsoft Graph pour la communication avec le serveur de commande et de contrôle.

En août 2024, d'autres activités ont établi un lien entre le groupe et une opération visant un média de la région. Cette opération a introduit GoGra , une porte dérobée inédite basée sur le langage Go. Des découvertes récentes confirment que Harvester a étendu cette capacité au-delà des environnements Windows, déployant désormais une variante Linux de la même famille de logiciels malveillants.

Infiltration trompeuse : ingénierie sociale et tactiques d’exécution

L'infection initiale repose largement sur des techniques d'ingénierie sociale. Les victimes sont manipulées pour ouvrir des fichiers binaires ELF dissimulés dans des documents PDF. Une fois exécutés, le programme d'installation affiche un document leurre afin de maintenir l'illusion de légitimité tout en déployant discrètement la porte dérobée en arrière-plan.

Flux de travail de commande et de contrôle : précision et persistance

La version Linux de GoGra est identique à son homologue Windows en termes de logique de communication et de fonctionnement. Elle interagit avec un dossier de messagerie Outlook nommé « Zomato Pizza », qu'elle interroge toutes les deux secondes via des requêtes OData (Open Data Protocol). Le logiciel malveillant surveille les messages entrants et ne traite que ceux qui répondent à des critères spécifiques :

  • Les courriels dont l'objet commence par « Saisie » sont identifiés comme des instructions de tâche.
  • Le corps du message est décodé en Base64 et exécuté sous forme de commandes shell via /bin/bash
  • Les résultats de l'exécution sont exfiltrés via des réponses par courriel dont l'objet est « Résultat ».
  • Les courriels originaux relatifs aux tâches sont supprimés après leur exécution afin d'éliminer toute trace légale.

Des traces de développement cohérentes sur toutes les plateformes

Malgré les différences de systèmes d'exploitation et de méthodes de déploiement, l'architecture C2 sous-jacente reste identique entre les versions Windows et Linux. Les chercheurs ont également observé des fautes d'orthographe identiques, codées en dur, dans les deux variantes, ce qui suggère fortement qu'un développeur ou une équipe de développement est à l'origine de ces outils.

Implications stratégiques : Élargir la surface d’attaque

L'introduction d'une porte dérobée sous Linux illustre les efforts continus de Harvester pour diversifier ses capacités et accroître sa flexibilité opérationnelle. En ciblant plusieurs systèmes d'exploitation et en tirant parti de services cloud de confiance, le groupe se positionne pour compromettre un plus large éventail d'environnements tout en restant discret.

Cette évolution souligne la sophistication croissante des acteurs malveillants modernes et la nécessité de mettre en place des défenses de cybersécurité adaptatives et basées sur le comportement.

Tendance

Le plus regardé

Chargement...