GoGra Linuxバックドア
Harvesterとして知られる脅威アクターが、新たに発見されたGoGraバックドアのLinux版と関連付けられており、サイバー諜報活動の継続的な拡大を示している。これらの攻撃は主に南アジア全域の組織を標的としていると考えられており、フォレンジック証拠はインドとアフガニスタンからの活動を示している。これは、これらの地域内の組織を狙った集中的な情報収集活動を示唆している。
目次
信頼できるチャネルを通じたステルス攻撃:クラウドインフラストラクチャの悪用
この攻撃キャンペーンの特徴は、正規のクラウドサービスを悪用して秘密裏に通信を行っている点です。マルウェアは、Microsoft Graph APIとOutlookメールボックスを併用し、隠蔽されたコマンド&コントロール(C2)チャネルとして利用します。攻撃者は、信頼できるプラットフォーム内に悪意のある通信を組み込むことで、従来の境界防御を効果的に回避し、検出を著しく困難にしています。
GraphonからGoGraへ:脅威アクターの進化
Harvesterが初めて世間の注目を集めたのは2021年後半で、南アジアの通信、政府、IT分野を標的とした情報窃盗キャンペーンに関与していたことが明らかになった。この段階で、同グループはGraphonと呼ばれる独自のインプラントを展開し、C2通信にはMicrosoft Graph APIも利用していた。
2024年8月、同グループは地域内のメディア組織に対する攻撃作戦に関与していたことが明らかになった。この作戦では、これまで知られていなかったGo言語ベースのバックドア「GoGra」が導入された。最近の調査結果によると、Harvesterはこの機能をWindows環境以外にも拡張し、同じマルウェアファミリーのLinux専用バージョンを展開していることが確認されている。
欺瞞的な侵入:ソーシャルエンジニアリングと実行戦術
初期感染は、ソーシャルエンジニアリングの手法に大きく依存している。被害者は、PDF文書に偽装されたELFバイナリを開くように誘導される。実行後、ドロッパーは偽の文書を表示して正当性を装いながら、バックグラウンドで密かにバックドアを展開する。
指揮統制ワークフロー:精度と持続性
GoGraのLinux版は、通信ロジックと動作フローにおいてWindows版と全く同じです。指定されたOutlookメールボックスフォルダ(「Zomato Pizza」というラベルが付けられています)とやり取りし、Open Data Protocol(OData)クエリを介して2秒ごとにポーリングを行います。このマルウェアは受信メッセージを監視し、特定の基準を満たすメッセージのみを処理します。
- 件名が「Input」で始まるメールは、タスク指示として識別されます。
プラットフォーム間で一貫した開発痕跡
オペレーティングシステムや展開方法に違いはあるものの、基盤となるC2アーキテクチャはWindows版とLinux版で一貫している。研究者らはまた、両方のバージョンで同一のハードコードされたスペルミスを確認しており、これはツール開発の背後に共通の開発者または開発チームが存在することを強く示唆している。
戦略的意味合い:攻撃対象領域の拡大
Linuxベースのバックドアの導入は、Harvesterが能力の多様化と運用上の柔軟性の向上に継続的に取り組んでいることを示している。複数のオペレーティングシステムを標的とし、信頼できるクラウドサービスを活用することで、同グループは検出されにくい状態を維持しながら、より幅広い環境への侵入を可能にする態勢を整えている。
この進化は、現代の脅威アクターの高度化と、適応型で行動ベースのサイバーセキュリティ防御の必要性を浮き彫りにしている。
