GoGra для Linux использует Microsoft Graph API для скрытой связи с операторами
Linux-версия бэкдора GoGra использует легитимную инфраструктуру Microsoft, полагаясь на почтовый ящик Outlook для скрытой доставки вредоносного ПО.
Вредоносное ПО разработано Harvester — шпионской группировкой, предположительно связанной с государством. Оно считается очень скрытным из-за использования Microsoft Graph API для доступа к данным почтовых ящиков.
Harvester действует по крайней мере с 2021 года и, как известно, использует собственные вредоносные инструменты, такие как бэкдоры и загрузчики, в кампаниях, нацеленных на телекоммуникационные, государственные и IT-организации в Южной Азии.
Исследователи из Symantec проанализировали образцы нового бэкдора GoGra для Linux, полученные с VirusTotal, и обнаружили, что первоначальный доступ к системе осуществляется путём обмана пользователей: им предлагают запустить двоичные файлы ELF, замаскированные под PDF-файлы.
Злоупотребление Microsoft Graph API
В сегодняшнем отчете исследователи из Symantec сообщают, что в Linux-версии бэкдора GoGra используются жестко заданные учетные данные Azure Active Directory (AD) для аутентификации в облаке Microsoft и получения токенов OAuth2. Это позволяет бэкдору взаимодействовать с почтовыми ящиками Outlook через Microsoft Graph API.
На начальном этапе атаки вредоносное ПО на основе Go развертывает полезную нагрузку для архитектуры i386, обеспечивая постоянное присутствие в системе с помощью ‘systemd’ и записи автозапуска XDG, выдающей себя за легитимный системный монитор Conky для Linux и BSD.
По данным исследователей, вредоносное ПО каждые две секунды проверяет папку почтового ящика Outlook под названием «Zomato Pizza». Оно использует запросы OData для идентификации входящих писем с темами, начинающимися со слова «Input».
Вредоносная программа расшифровывает содержимое этих сообщений, закодированное в формате base64 и зашифрованное с помощью алгоритма AES-CBC, и выполняет полученные команды локально.
Результаты выполнения шифруются с помощью алгоритма AES и отправляются оператору в ответных электронных письмах с темой «Результат».
Чтобы затруднить криминалистическую экспертизу, вредоносная программа после обработки исходного командного письма отправляет HTTP-запрос на удаление.
Symantec подчеркивает, что в Linux-версии GoGra используется практически идентичная кодовая база, что и в Windows-версии вредоносного ПО, включая те же опечатки в строках и названиях функций, а также тот же ключ AES.
Это убедительно свидетельствует о том, что оба вредоносных ПО были созданы одним и тем же разработчиком, что указывает на группу угроз Harvester.
По мнению компании Symantec, появление варианта GoGra для Linux свидетельствует о том, что Harvester расширяет свой инструментарий и целевую аудиторию, чтобы охватить более широкий спектр систем.
Выводы
Появление Linux-версии GoGra показывает, что злоумышленники всё активнее используют легитимные облачные сервисы для маскировки вредоносной активности. Вместо традиционных командных серверов вредоносная программа взаимодействует через Microsoft Graph API и почтовый ящик Outlook, что позволяет скрывать сетевой трафик среди обычных корпоративных запросов.
Особую опасность представляет тот факт, что вредоносное ПО использует встроенные механизмы аутентификации Microsoft 365 и шифрование данных, благодаря чему обнаружить его стандартными средствами мониторинга становится значительно сложнее. Такой подход свидетельствует о переходе к более продвинутым методам кибершпионажа, ориентированным на организации с гибридной инфраструктурой Linux и облачных сервисов Microsoft.
Для компаний это означает необходимость расширения мониторинга не только локальных систем, но и активности внутри облачных API. Без анализа аномальных обращений к Microsoft Graph даже современные средства защиты могут пропустить подобные атаки, поскольку внешне вредоносный трафик выглядит как штатная работа корпоративных приложений.
Редактор: AndreyEx
