المجموعة الهجومية Harvester كاتطوّر الترسانة ديالها بنسخة Linux من backdoor "GoGra"
Harvester Deploys Linux GoGra Backdoor in South Asia Using Microsoft Graph API
المجموعة الهجومية Harvester كاتطوّر الترسانة ديالها بنسخة Linux من backdoor "GoGra"
خلاصة (TL;DR)
المجموعة الهجومية المعروفة بـ Harvester طوّرات الأدوات ديالها باش تشمل نسخة خدامة على Linux من البرامج الخبيثة (backdoor) "GoGra". هاد المجموعة كاتستهدف مؤسسات فجنوب آسيا — وبالضبط فالهند وأفغانستان. هاد الـ malware كيخدم بـ Microsoft Graph API الشرعي وصناديق البريد ديال Outlook باش يتواصل مع سيرفرات التحكم (C2)، هادشي كيخليه يخبّي الترافيك (traffic) الخبيث وسط خدمات السحاب (cloud) اللي معروفة.
مقدمة
المشهد ديال الأمن السيبراني فجنوب آسيا كيواجه تهديد جديد مع توسع مجموعة التجسس Harvester. هاد المجموعة اللي كانت معروفة باستهداف أنظمة Windows، كشفت أبحاث جديدة من فرق Symantec و Carbon Black Threat Hunter أنها طوّرات ونشرات نسخة Linux من الـ backdoor ديالها "GoGra".
باستعمال خدمات ويب حقيقية وشرعية فالبنية التحتية ديال التحكم ديالهم، Harvester كاتبيّن مرة أخرى على قدرة متطورة فأنها تجاوز دفاعات الشبكة وتبقى مزروعة فأنظمة الضحايا لمدة طويلة.
التجسس المستهدف فجنوب آسيا
بناءً على الملفات اللي ترفعات لمنصة VirusTotal، كيعتقدوا الباحثين باللي الأهداف الرئيسية ديال هاد النشاط الأخير كاينا فـ الهند وأفغانستان.
Harvester ماشي مجموعة جديدة فالمنطقة. من يونيو 2021، توثق الاستهداف ديالها لـ:
- الاتصالات (Telecommunications)
- القطاعات الحكومية
- تكنولوجيا المعلومات (IT)
- المؤسسات الإعلامية
وخا الـ backdoor ديال Windows (اللي مكتوب بلغة Go) كان مرتبط بهجوم على مؤسسة إعلامية فجنوب آسيا فغشت 2024، هاد النسخة الجديدة كتاكد باللي المجموعة دابا كاتقلب بجهد على ماكينات Linux باش توّسع دائرة الضحايا ديالها.
طريقة العدوى: الهندسة الاجتماعية (Social Engineering)
الطريقة باش كيوصل هاد الـ backdoor لـ Linux كاعتمد على الهندسة الاجتماعية التقليدية. كيتم الضحك على الضحايا باش يشغلو ملفات ELF binaries اللي كاينا فثوب وثائق PDF.
باش يحافظوا على الخدعة، الـ malware dropper كايعرض وثيقة "طُعم" (lure) للضحية. وفاش كيكون الضحية كيقرا الوثيقة، الـ backdoor "GoGra" كيتثبت وكيتخدم فالفوندو (background) بلا ما يعيق بيه حد.
ميكانيزم التحكم (C2): استغلال Microsoft Graph API
وحدة من أنجح التكتيكات ديال Harvester هي استعمال تقنيات "Living-off-the-cloud". بحال النسخ اللي قبل (implant "Graphon") ونسخة Windows ديال GoGra، نسخة Linux كاتستعمل Microsoft Graph API باش تحوّل صناديق Outlook لقناة تحكم سرية.
سير العمل التقني ديال هاد الـ backdoor كيشمل:
- الاستطلاع (Polling): الـ malware كيتصل بواحد الدوسي محدد فـ Outlook (مسمي "Zomato Pizza") كل جوج ثواني.
- طلبات OData: كيخدم بـ Open Data Protocol (OData) باش يقلب على الإيمايلات اللي جاية وعندها فالعنوان (Subject) كلمة "Input."
- تنفيذ الأوامر: مّلي كيلقى الإيمايل المناسب، الـ backdoor كيفك التشفير (Base64) ديال المحتوى وكيطبق الأوامر فـ shell عن طريق
/bin/bash. - إخراج البيانات (Exfiltration): النتائج ديال تنفيذ الأوامر كيتجمعوا فإيمايل جديد وكيتصيفطوا للهكر بـ Subject فيه "Output."
- مسح الأثر (Anti-Forensics): غي كيسالي المهمة، الـ implant كيمسح الإيمايل الأصلي "Input" باش يغبر أي دليل على الأوامر اللي تعطات.
التشابه بين الأنظمة (Cross-Platform Consistency)
البحث كيبيّن باللي كاين تشابه كبير بزاف بين نسخة Windows و Linux ديال GoGra. وخا كاين اختلاف فالأنظمة، المنطق (logic) ديال التحكم C2 كيبقى هو هو.
والمثير للانتباه هو أن فريق Symantec و Carbon Black لقاوا أخطاء إملائية (spelling errors) مطابقة ومكتوبة "hard-coded" فالكود ديال النسختين بجوج. هاد البصمة كاترجح بقوة أن نفس المبرمج أو نفس الفريق هو اللي مسؤول على المجموعة كاملة ديال GoGra.
خلاصة
ظهور نسخة Linux من GoGra كيشير لتحول استراتيجي لمجموعة Harvester. من خلال تنويع البرامج الخبيثة ديالها باش تستهدف الأنظمة الكبيرة بجوج واستعمال البنية التحتية ديال Microsoft، هاد المجموعة بقات تهديد مستمر للمؤسسات فجنوب آسيا. هاد التطور كياكد على الأهمية ديال مراقبة الترافيك ديال cloud APIs حيت الهكرز ولاو كيفضلوا طرق تواصل "مخبية فواضح النهار".
المصدر
العنوان: Harvester Deploys Linux GoGra Backdoor in South Asia Using Microsoft Graph API
الرابط: https://thehackernews.com/2026/04/harvester-deploys-linux-gogra-backdoor.html