Группа шпионов Harvester вновь привлекла внимание, запустив новую версию вредоносного ПО GoGra, на этот раз для платформы Linux. Специалисты из Symantec и Carbon Black Threat Hunter обнаружили, что это ПО скрывается под обычным сетевым трафиком и легитимными сервисами Microsoft.
- Harvester активен с 2021 года и, вероятно, связан с государственными структурами.
- Атаки направлены на Индию и Афганистан с использованием социальной инженерии.
- Вредоносное ПО маскируется под файлы с расширением .pdf.
- Используется Microsoft Graph API для управления.
Методы атаки и маскировка
Злоумышленники рассылают поддельные документы, которые выглядят как безопасные, но запускают вредоносный код. Для маскировки используется простая хитрость — добавление пробела перед расширением .pdf, что вводит пользователя в заблуждение. В результате активируется дроппер, который разворачивает основной модуль GoGra, занимающий около 5,9 МБ, и внедряется в систему через механизмы автозапуска.
Канал управления и особенности
Новая версия GoGra использует Microsoft Graph API для управления и отправки команд через почтовые ящики Outlook. Вредоносное ПО получает доступ к учётным данным Azure AD и регулярно проверяет папки в почте на наличие новых команд. Результаты выполнения команд отправляются обратно с использованием специального шифрования, чтобы скрыть активность.
Анализ показал, что версии GoGra для Linux и Windows имеют схожую логику работы. Это указывает на единого разработчика, несмотря на небольшие различия в реализации.
| Параметр | Linux | Windows |
|---|---|---|
| Размер модуля | 5,9 МБ | 5,9 МБ |
| Метод маскировки | Подмена .pdf | Подмена .pdf |
| Канал управления | Microsoft Graph API | Microsoft Graph API |
Таким образом, Harvester продолжает расширять свои возможности, наращивая инструментарий и охватывая новые платформы, что представляет серьезную угрозу для пользователей в южноазиатском регионе.