Harvester grupa pravi novi Linux backdoor GoGra za napade u Južnoj Aziji
Grupa Harvester koristi novu Linux verziju GoGra backdora za napade u Južnoj Aziji, preusmravajući komande preko Microsoft Graph API i Outlook sanduka.
Šta se desilo?
Grupa Harvester, poznata kao aktivna pretnja u regionu Južne Azije, razvila je Linux verziju svog GoGra backdora, prema izveštaju Symantec i Carbon Black Threat Hunter tima. Malver se maskira kao PDF dokument (zapravo je ELF binarna datoteka) i koristi Microsoft Graph API preko Outlook sanduka kao kanal za komunikaciju sa napadačem, čime zaobilazi tradicionalne mrežne odbrambene mehanizme.
Koga pogađa?
Napadi su usmereni prema organizacijama u Južnoj Aziji, posebno u telekomunikacionom, vladinom i IT sektoru. Artefakti su pronađeni sa adresa iz Indije i Avganistana, što ukazuje da su te dve zemlje prioritetne meta za ovu špijunsku aktivnost.
Kako radi napad?
Napadači koriste društveni inženjering kako bi žrtve otvorile datoteke maskirane kao PDF. Dropper prikazuje lažan dokument dok u pozadini izvršava Linux verziju backdora. GoGra se povezuje sa Outlook mapom pod nazivom "Zomato Pizza" svakih dve sekunde, očekujući poruke sa subject linijom koja počinje sa "Input". Kada primi odgovarajuću komandu, dekriptuje Base64-kodirani sadržaj i izvršava ga kao shell komande preko bash-a. Rezultati se vraćaju napadaču email-om sa subject "Output", a originalna poruka se briše da bi se izbrisali tragovi.
Tehnički detalji
Linux verzija GoGra-a koristi identičnu C2 logiku kao Windows varijanta, što Symantec i Carbon Black potvrđuju pronalaženjem istih pravopisnih grešaka u kodu - što ukazuje na istog razvijača. Malver komunicira sa Microsoft Graph API preko OData zahteva, korišćenjem cloud infrastrukture kao skrivenog kanala. ELF binarne datoteke su dizajnirane da se pokrenu kao PDF dokumenti.
Istorijat grupe
Harvester je prvi put javno dokumentovana od strane Symantec-a krajem 2021. godine kao grupa specijalizovana za krađu informacija. Tada je koristila sopstveni implan nazvan Graphon koji je takođe koristio Microsoft Graph API. U augustu 2024. povezana je sa napadom na anonimnu medijsku organizaciju u regionu, pri čemu je otkrivena Windows verzija GoGra backdora. Najnoviji nalazi pokazuju da grupa nastavlja sa proširenjem svog arsenala.
Preporuka Sajber Radara
Organizacije u Južnoj Aziji moraju hitno proveriti svoje Linux sisteme i email servere za znakove GoGra infektovanja. Kritično je obučiti zaposlene o rizicima otvaranja neočekivanih datoteka, posebno onih koji se čine kao dokumenti, i implementirati detekciju anomalnog email-a sa podozrivim subject linijama kroz cloud usluge.
