كشفت فرق التهديد في شركتي Symantec وCarbon Black عن نشاط جديد لمجموعة القرصنة المعروفة باسم Harvester، حيث قامت بنشر نسخة خاصة بنظام Linux من بابها الخلفي GoGra ضمن هجمات يُرجح أنها استهدفت كيانات في جنوب آسيا.
البرمجية الخبيثة تستغل واجهة Microsoft Graph API وصناديق بريد Outlook كقناة سرية للتحكم والسيطرة (C2)، ما يسمح لها بتجاوز أنظمة الدفاع التقليدية للشبكات.
خلفية عن مجموعة Harvester وأدواتها
ظهرت المجموعة لأول مرة في تقارير عامة عام 2021، حين ربطتها Symantec بحملة سرقة معلومات استهدفت قطاعات الاتصالات والحكومات وتقنية المعلومات في جنوب آسيا باستخدام برمجية مخصصة تدعى Graphon.
وفي أغسطس 2024، رُصدت هجمات جديدة ضد مؤسسة إعلامية في المنطقة باستخدام باب خلفي مكتوب بلغة Go أُطلق عليه اسم GoGra. النتائج الأخيرة تشير إلى أن المجموعة وسّعت أدواتها لتشمل أنظمة لينكس، ما يعكس تطوراً في قدراتها وتنوعاً في منصاتها المستهدفة.
أسلوب الاستغلال وآلية عمل GoGra
الهجمات تعتمد على الهندسة الاجتماعية لخداع الضحايا بفتح ملفات ELF التنفيذية التي تُعرض كوثائق PDF. بعد ذلك، يقوم برنامج الإسقاط بعرض مستند وهمي بينما يُشغّل الباب الخلفي في الخفاء.
النسخة الخاصة بلينكس، مثل نظيرتها على ويندوز، تستغل بنية مايكروسوفت السحابية للتواصل مع مجلد بريد Outlook محدد باسم “Zomato Pizza” كل ثانيتين عبر استعلامات OData.
يقوم الباب الخلفي بفحص الرسائل الواردة بحثاً عن عناوين تبدأ بكلمة “Input”، ثم يفك تشفير محتوى الرسالة المشفر بـ Base64 ويُنفذها كأوامر عبر /bin/bash. النتائج تُرسل مرة أخرى إلى المهاجم في رسالة بعنوان “Output”، وبعدها تُمسح الرسالة الأصلية لإخفاء الأثر.
دلالات الاستهداف وأهمية الاكتشاف
تم العثور على عينات مرفوعة إلى منصة VirusTotal من الهند وأفغانستان، ما يشير إلى أن هذين البلدين قد يكونان الهدف الأساسي للحملة التجسسية.
التحليلات أظهرت أن المنطق الأساسي للتحكم والسيطرة لم يتغير بين نسختي ويندوز ولينكس، بل حتى الأخطاء الإملائية المدمجة في الشيفرة ظهرت متطابقة، ما يعزز فرضية أن المطور نفسه يقف وراء كلا النسختين.
هذا التطور يوضح أن مجموعة Harvester تواصل توسيع أدواتها وتطوير برمجيات جديدة لاستهداف نطاق أوسع من الضحايا والأنظمة.
