Группа Harvester представила новую, высокоскрытную версию своего бэкдора GoGra для операционной системы Linux. Ключевой особенностью вредоносного ПО стало использование легитимного облачного сервиса Microsoft - Graph API и почтовых ящиков Outlook - в качестве скрытого канала управления. Такой подход позволяет злоумышленникам эффективно обходить традиционные периметровые средства защиты сетей, такие как межсетевые экраны и системы обнаружения вторжений, поскольку трафик к доверенным публичным сервисам Microsoft редко подвергается глубокой проверке. Эксперты Symantec Threat Hunter Team и Carbon Black Threat Hunter Team связали эту новую разработку с ранее известной кампанией шпионажа Harvester для Windows, обнаружив сходства в кодовой базе, что демонстрирует активное расширение группировкой своих межплатформенных возможностей.
Описание
Хотя конкретные жертвы в этой кампании не были зафиксированы, первоначальные загрузки образцов вредоносного ПО на платформу VirusTotal поступили из Индии и Афганистана. Этот факт, наряду с использованием локализованных документов-приманок, указывает на то, что регион Южной Азии остаётся главной целью для шпионской деятельности Harvester. Исторически группа нацеливалась на жертв именно в этом регионе. Сама атака начинается с фишинга, где злоумышленники используют социальную инженерию, рассылая целевые документы-приманки. Для маскировки вредоносные исполняемые файлы Linux (ELF) выдаются за стандартные документы: к имени файла добавляется расширение вроде ".pdf", причём между именем и точкой ставится пробел. Эта уловка заставляет систему Linux по-прежнему воспринимать файл как исполняемый бинарник, в то время как пользователь видит знакомый формат документа.
Содержание приманок тщательно адаптировано под локальный контекст. Один документ маскировался под материалы от "Zomato Pizza" - популярного в Индии сервиса доставки еды. Другой был назван "umrah.pdf", отсылая к исламскому паломничеству умра. Среди прочих примеров обманных имён файлов - "TheExternalAffairesMinister. pdf" и "Details Format. pdf". После запуска файл-дроппер, написанный на языке Go, внедряет и устанавливает основную полезную нагрузку - исполняемый файл размером около 5,9 МБ для архитектуры i386. Для обеспечения постоянного присутствия в системе (persistence) вредоносное ПО прописывает свой модуль в каталог "~/.config/systemd/user/" и создаёт запись для автозапуска через механизм XDG, маскируясь под легитимный системный монитор Conky.
Наиболее примечательной технической особенностью этого бэкдора является злоупотребление легитимной облачной инфраструктурой Microsoft. Внутренний имплант содержит вшитые в открытом виде учётные данные приложения Azure Active Directory (клиентский секрет, идентификаторы клиента и тенанта), что позволяет ему получать OAuth2-токены для доступа к Microsoft Graph API. Для получения команд бэкдор каждые две секунды опрашивает через синтаксис OData (Open Data Protocol) определённую папку в почтовом ящике Outlook, названную "Zomato Pizza". Интересно, что Windows-версия этого же бэкдора использовала для аналогичных целей почтовый ящик с именем "Dragan Dash" - отсылка к ресторану Dragan Dash Kitchen в индийском Хайдарабаде. Обнаружение команды происходит по письмам с темой, начинающейся со слова ‘Input’. Тело письма, закодированное в base64 и зашифрованное алгоритмом AES-CBC, расшифровывается, а содержащаяся в нём команда выполняется на хосте через "/bin/bash -c".
Результаты выполнения шифруются AES и отправляются обратно оператору в виде ответного письма с темой ‘Output’. После успешной эксфильтрации данных имплант отправляет HTTP DELETE запрос, чтобы стереть исходное письмо-задание и устранить следы своего присутствия в почтовом ящике. Анализ кода подтвердил, что Linux-угроза и ранее изученный Windows-вариант GoGra используют практически идентичную кодовую базу, что указывает на целенаправленную стратегию мультиплатформенной разработки у группы Harvester. Несмотря на различия в архитектуре развёртывания и целевых операционных системах, базовая логика работы канала C2 остаётся неизменной. Более того, аналитики обнаружили несколько совпадающих орфографических ошибок в строках и именах функций в коде для обеих платформ, что с высокой вероятностью указывает на одного разработчика, стоящего за обоими инструментами. К таким ошибкам относятся, например, строки "json:"@odata.ontext"", "error occured in decryption :", "Commad Executed", а также имена функций "ExcuteCommand" и "DeleteingMessage".
Появление Linux-версии бэкдора GoGra сигнализирует о том, что группа Harvester продолжает наращивать свой арсенал и активно разрабатывать новые инструменты для охвата более широкого спектра жертв и типов инфраструктуры. Использование доверенных публичных облачных сервисов для скрытого канала управления становится всё более популярной тактикой среди сложных угроз, поскольку серьёзно затрудняет обнаружение аномалий в сетевом трафике. Организациям, особенно имеющим интересы в Южной Азии или использующим гибридные среды с серверами на Linux, следует усилить мониторинг не только входящих фишинговых атак, но и аномальных процессов, связанных с системными службами и автозагрузкой, а также рассмотреть возможность применения более строгих политик условного доступа к облачным сервисам вроде Microsoft 365 для предотвращения компрометации учётных данных приложений.
Индикаторы компрометации
SHA256
- 2d0177a00bed31f72b48965bee34cec04cb5be8eeea66ae0bb144f77e4d439b1
- 57cd5721bae65c29e58121b5a9b00487a83b6c37dded56052cab2a67f90ea943
- 74ac41406ce7a7aa992f68b4b3042f980027526f33ec6c8d84cb26f20495c9dc
- 9c23c65a8a392a3fd885496a5ff2004252f1ad4388814b20e5459695280b0b82
- d8d84eaba9b902045ae4fe044e9761ad0ce9051b85feea3f1cf9c80b59b2b123
