Varian Linux dari pintu belakang GoGra menggunakan infrastruktur Microsoft yang sah, mengandalkan kotak masuk Outlook untuk pengiriman muatan secara diam-diam.
Malware ini dikembangkan oleh Harvester, sebuah kelompok spionase yang diyakini merupakan afiliasi negara, dan dianggap sangat mengelak karena penggunaan Microsoft Graph API untuk mengakses data kotak surat.
Pemanen telah aktif setidaknya sejak tahun 2021 dan diketahui menggunakan alat berbahaya khusus, seperti pintu belakang dan pemuat dalam kampanye yang menargetkan organisasi telekomunikasi, pemerintah, dan TI di Asia Selatan.
Peneliti Symantec menganalisis sampel backdoor Linux GoGra baru yang diambil dari VirusTotal dan menemukan bahwa akses awal diperoleh dengan mengelabui korban agar mengeksekusi binari ELF yang disamarkan sebagai file PDF.
Menyalahgunakan Microsoft Graph API
Dalam laporannya hari ini, peneliti Symantec mengatakan bahwa backdoor GoGra versi Linux menggunakan kredensial Azure Active Directory (AD) yang dikodekan secara hardcode untuk mengautentikasi ke cloud Microsoft dan mendapatkan token OAuth2. Hal ini memungkinkannya berinteraksi dengan kotak surat Outlook melalui Microsoft Graph API.
Pada tahap awal serangan, dropper malware berbasis Go menyebarkan payload i386, membangun persistensi melalui ‘systemd’ dan entri autostart XDG yang menyamar sebagai monitor sistem Conky yang sah untuk Linux dan BSD.
Menurut para peneliti, malware tersebut memeriksa setiap dua detik folder kotak surat Outlook bernama “Zomato Pizza.” Ia menggunakan kueri OData untuk mengidentifikasi email masuk dengan baris subjek yang dimulai dengan “Input.”
Malware mendekripsi konten pesan-pesan ini yang dikodekan base64 dan dienkripsi AES-CBC dan menjalankan perintah yang dihasilkan secara lokal.
Hasil eksekusi kemudian dienkripsi AES dan dikembalikan ke operator melalui email balasan dengan subjek “Output.”
Untuk mengurangi visibilitas forensik, malware mengeluarkan permintaan HTTP DELETE untuk menghapus email perintah asli setelah memprosesnya.
Sorotan Symantec bahwa varian Linux dari GoGra memiliki basis kode yang hampir sama dengan malware versi Windows, termasuk kesalahan ketik yang sama pada string dan nama fungsi, serta kunci AES yang sama.
Hal ini sangat menunjukkan bahwa kedua malware tersebut dibuat oleh pengembang yang sama, yang mengarah ke kelompok ancaman Harvester.
Symantec melihat kemunculan varian Linux GoGra sebagai indikasi bahwa Harvester sedang memperluas perangkatnya dan menargetkan cakupan untuk memanfaatkan sistem yang lebih luas.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
