كشفت تقارير أمنية حديثة عن استخدام مجموعة قرصنة متقدمة، يُعتقد أنها مدعومة من دولة، لطريقة مبتكرة لإخفاء أنشطتها الضارة داخل حسابات البريد الإلكتروني الخاصة بـ Microsoft Outlook، مما يجعل اكتشاف هجماتها بواسطة الأدوات الأمنية القياسية أمراً بالغ الصعوبة. يشير هذا التطور إلى اتجاه جديد في تكتيكات الهجمات السيبرانية.
المجموعة، المعروفة باسم “Harvester APT” والتي تنشط منذ عام 2021 على الأقل، قامت بتطوير نسخة جديدة من برنامجها الخلفي “GoGra” الذي يعمل على أنظمة لينكس. تتواصل هذه البرمجيات الخبيثة عبر واجهة Microsoft Graph API الشرعية وحسابات Outlook الحقيقية، مما يوفر قناة قيادة وسيطرة مخفية.
يسمح التواصل عبر البنية التحتية السحابية الموثوقة لشركة مايكروسوفت للبرنامج الخلفي بتجاوز الدفاعات التقليدية للشبكات المحيطية، والتي غالباً ما تكون غير مجهزة لتصنيف حركة البريد الإلكتروني المشروعة على أنها مشبوهة. يبدو أن الحملة تهدف إلى التجسس بدلاً من المكاسب المالية، مع تركيز أساسي على جنوب آسيا.
ثغرات لينكس GoGra Backdoor واستخدام Outlook
تم اكتشاف هذه البرمجيات الخبيثة الجديدة من قبل محللين في Symantec و Carbon Black، الذين لاحظوا تشابهاً قوياً في شيفرة البرمجيات الخبيثة لـ لينكس مع النسخة القديمة التي كانت تستهدف أنظمة ويندوز. يؤكد هذا التوسع في القدرات عبر المنصات أن مجموعة Harvester تعمل بنشاط على تطوير أدواتها لتشمل مجموعة أوسع من أنظمة التشغيل.
تلقت الهجمات الأولية عبر الهند وأفغانستان، مما يشير إلى أن المنظمات والأفراد في جنوب آسيا هم الأهداف الرئيسية. استخدم المهاجمون وثائق وهمية محلية تستند إلى أسماء وخدمات ثقافية مألوفة في المنطقة، مما يدل على استراتيجية استهداف متعمدة ومصممة خصيصاً.
يعتمد المهاجمون على الهندسة الاجتماعية في اختراق الأنظمة. يتم توجيه الضحايا نحو وثائق وهمية تبدو كملفات مستندات عادية، مثل “TheExternalAffairesMinister.pdf” و “Details Format.pdf”، ولكنها في الواقع عبارة عن ملفات تنفيذية خبيثة خاصة بلينكس (ELF binaries). بمجرد فتح الملف، يبدأ التثبيت الخبيث بهدوء في الخلفية، حيث يقوم البرنامج بإعداد آليات استمرارية لتجاوز إعادة تشغيل النظام.
آلية استغلال البنية التحتية لمايكروسوفت
يعتبر الجانب الأكثر أهمية تقنياً في هذا البرنامج الخلفي هو كيفية تحويله لخدمات سحابية مشروعة من مايكروسوفت إلى قناة اتصال سرية. بعد الإصابة الأولية، يقوم برنامج “Go dropper” بنشر حمولة تنفيذية بحجم 5.9 ميغابايت في مسار محدد.
لضمان البقاء بعد إعادة التشغيل، يقوم البرنامج الخبيث بإنشاء وحدة نظام “systemd user unit” وإدخال تشغيل تلقائي “XDG autostart entry” ينتحل هوية مراقب نظام لينكس الشرعي “Conky”. تحمل الحزمة الداخلية بيانات اعتماد تطبيق Azure AD مشفرة بشكل واضح، بما في ذلك معرف المستأجر ومعرف العميل وسر العميل.
تسمح هذه الاعتمادات للبرنامج الخبيث بطلب رموز OAuth2 مباشرة من مايكروسوفت وبدء التواصل عبر مجلد بريد إلكتروني حقيقي في Outlook يسمى “Zomato Pizza”، ويقوم بالتحقق من وجود تعليمات جديدة كل ثانيتين. عند إرسال المهاجم لأمر، يقوم البرنامج الخبيث بالتقاط رسائل البريد الإلكتروني الواردة التي تبدأ عناوينها بـ “Input”.
يقوم البرنامج بعد ذلك بفك تشفير الرسالة المشفرة باستخدام AES-CBC وتغليفها بـ base64، ثم يقوم بتنفيذ الأمر على المضيف باستخدام /bin/bash. يتم إرسال النتائج مشفرة بنفس مفتاح AES مرة أخرى إلى المهاجم عبر رد بريد إلكتروني بعنوان “Output”. بعد إرسال النتائج، يقوم البرنامج الخبيث بمسح البريد الإلكتروني الأصلي للأمر باستخدام طلب HTTP DELETE، مما يترك أثراً ضئيلاً للتفاعل.
تنصح الخبراء المنظمات التي تشغل أنظمة لينكس بمراجعة إدخالات التشغيل التلقائي ووحدات نظام systemd user unit بحثاً عن خدمات غير متوقعة أو غير معروفة، خاصة تلك التي تنتحل هوية أدوات مشروعة مثل Conky. يُنصح فرق الأمن بمراقبة طلبات رموز OAuth2 وأنشطة Microsoft Graph API من النقاط الطرفية التي لا تستخدم هذه الخدمات عادةً.
يمكن لتقييد أو حظر بيانات اعتماد تطبيق Azure AD غير المعروفة للمؤسسة أن يقلل من خطر هذا النوع من الاستغلال. يجب على فرق البحث عن التهديدات البحث عن ملفات ELF binaries مع امتدادات وهمية ملحقة في أدلة المستخدم، بالإضافة إلى الملفات المكتوبة في مسارات “~/.config/systemd/user/” بواسطة عمليات غير قياسية. إن فهم هذه التكتيكات الجديدة، مثل استخدام حسابات Outlook كقناة C2، أمر بالغ الأهمية لتعزيز الأمن السيبراني.