Onderzoekers van Symantec hebben een nieuwe Linux-variant van de GoGra backdoor ontdekt die gebruikmaakt van legitieme Microsoft-infrastructuur. Deze malware communiceert via een Outlook-inbox en maakt daarbij gebruik van de Microsoft Graph API om opdrachten en resultaten uit te wisselen, wat zorgt voor een zeer stealthy aanvalsmethode.

De malware is ontwikkeld door de spionagegroep Harvester, die vermoedelijk een staatsondersteunde actor is en sinds ten minste 2021 actief is. Harvester zet aangepaste kwaadaardige tools in, waaronder backdoors en loaders, en richt zich met campagnes vooral op telecommunicatie, overheidsinstanties en IT-organisaties in Zuid-Azië. Symantec analyseerde samples van de nieuwe Linux GoGra backdoor die via VirusTotal waren gevonden. De initiële toegang wordt verkregen door slachtoffers te misleiden met ELF-binaries die vermomd zijn als PDF-bestanden.

De Linux-versie van GoGra maakt gebruik van hardcoded Azure Active Directory-credentials om zich te authenticeren bij de Microsoft-cloud en OAuth2-tokens te verkrijgen. Hiermee kan de malware via de Microsoft Graph API Outlook-mailboxen benaderen. In de eerste fase van de aanval zet een Go-gebaseerde dropper een i386 payload uit, die persistentie realiseert via 'systemd' en een XDG autostart entry die zich voordoet als de legitieme Conky systeemmonitor voor Linux en BSD.

De malware controleert elke twee seconden een Outlook-map met de naam “Zomato Pizza” op binnenkomende e-mails waarvan het onderwerp begint met “Input”. De inhoud van deze berichten is base64-gecodeerd en AES-CBC versleuteld. Na ontsleuteling voert de malware de opdrachten lokaal uit. De uitvoeringsresultaten worden vervolgens opnieuw versleuteld en via antwoordmails met het onderwerp “Output” teruggestuurd naar de operator. Om forensische sporen te verminderen, verwijdert de malware de originele opdrachtmail na verwerking met een HTTP DELETE-verzoek.

Symantec merkt op dat de Linux-variant van GoGra vrijwel identieke code deelt met de Windows-versie, inclusief dezelfde typefouten in strings en functienamen en dezelfde AES-sleutel. Dit duidt erop dat beide malwarevarianten door dezelfde ontwikkelaar zijn gemaakt, wat wijst op de betrokkenheid van de Harvester-groep. De verschijning van een Linux-variant geeft aan dat Harvester zijn toolset en doelwitten uitbreidt om een breder scala aan systemen aan te vallen.