GoGraバックドアのLinux亜種は正規のMicrosoft インフラストラクチャを使用し、Outlookのインボックスに依存してステルス的にペイロードを配信します。
このマルウェアは、国家が関与していると考えられるスパイ集団Harvesterによって開発されており、Microsoft Graph APIを使用してメールボックスデータにアクセスするため、非常に回避的であると考えられています。
Harvesterは少なくとも2021年から活動しており、南アジアの通信事業者、政府、IT組織を標的とするキャンペーンでバックドアやローダーなどのカスタムマルウェアツールを使用することで知られています。
Symantecの研究者は、VirusTotalから取得した新しいLinux GoGraバックドアのサンプルを分析し、初期アクセスがPDFファイルに偽装したELFバイナリを実行するようにユーザーを騙すことで得られることを発見しました。
Microsoft Graph APIの悪用
本日のレポートで、Symantecの研究者は、GoGraバックドアのLinuxバージョンが、ハードコードされたAzure Active Directory (AD)認証情報を使用してMicrosoftのクラウドに認証してOAuth2トークンを取得していると述べています。これにより、Microsoft Graph APIを介してOutlookメールボックスと対話することができます。
攻撃の初期段階では、Goベースのマルウェアドロッパーがi386ペイロードをデプロイし、「systemd」とLinuxおよびBSDの正規のConkyシステムモニターを装ったXDGオートスタートエントリを介して永続性を確立します。
研究者によると、マルウェアは「Zomato Pizza」という名前のOutlookメールボックスフォルダを2秒ごとにチェックします。これはODataクエリを使用して、「Input」で始まる件名のメールを識別します。
マルウェアはこれらのメッセージのBase64エンコードおよびAES-CBC暗号化されたコンテンツを復号化し、結果のコマンドをローカルで実行します。
実行結果はその後AES暗号化され、「Output」という件名の返信メールを介してオペレータに返されます。
フォレンジック可視性を減らすため、マルウェアは処理後、元のコマンドメールを削除するためのHTTP DELETE要求を送信します。
Symantecは、GoGraのLinux亜種がマルウェアのWindowsバージョンとほぼ同一のコードベースを共有していることを強調しており、文字列と関数名の同じタイプミスや同じAESキーを含んでいます。
これは、マルウェアの両方が同じ開発者によって作成されたことを強く示唆しており、Harvester脅威グループを指しています。
Symantecは、Linux GoGra亜種の出現を、Harvesterがより広い範囲のシステムをターゲットするためにツールセットとターゲットスコープを拡張していることの兆候として見ています。
Mythosが発見したもののうち99%はまだパッチが当たっていません。
AIが4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日と14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能な脆弱性を見つけ、制御が機能することを証明し、修復ループを閉じるかをご覧ください。
