Группа шпионов Harvester снова привлекла внимание, выпустив новый инструмент — бэкдор GoGra для Linux, который скрывается под обычным интернет-трафиком и легитимными сервисами Microsoft. Об этом сообщили эксперты из Symantec и Carbon Black Threat Hunter.
- Новая версия бэкдора GoGra предназначена для Linux.
- Атаки нацелены на Индию и Афганистан.
- Злоумышленники используют социальную инженерию для распространения вредоносного ПО.
- Канал управления осуществляется через Microsoft Graph API.
- Анализ показал идентичность кода Linux и Windows версий GoGra.
Методы атаки и маскировка
Злоумышленники используют социальную инженерию для распространения файлов, которые выглядят как обычные документы, но на самом деле запускают вредоносный код. Для маскировки применяется трюк с добавлением пробела перед расширением «.pdf», что вводит пользователя в заблуждение. После активации дроппер разворачивает основной модуль, который затем маскируется под системный монитор.
Канал управления и выполнение команд
Главная особенность новой версии GoGra заключается в использовании Microsoft Graph API и почтовых ящиков Outlook для управления. Вредоносное ПО получает доступ к учётным данным Azure AD для получения OAuth2-токенов и регулярно проверяет почту на наличие новых команд. Команды отправляются в письмах с темой, начинающейся на «Input», а результаты возвращаются в письмах с темой «Output». После этого исходные сообщения удаляются для сокрытия следов.
| Параметр | Описание |
|---|---|
| Размер модуля | 5,9 МБ |
| Платформы | Linux и Windows |
| Методы маскировки | Использование пробела перед расширением файла |
Таким образом, Harvester значительно расширяет свои возможности, адаптируясь к различным операционным системам и методам атаки, что делает их действия всё более сложными для обнаружения.