新しく発見されたGoGraバックドアのLinux亜種は、Harvester高度な持続的脅威(APT)グループによって使用されており、ステルス的なサイバースパイ行為を行っています。
疑われている国家支援グループであるHarvesterは、少なくとも2021年以来活動しており、カスタムマルウェアとスパイ活動キャンペーンでサウスアジアをターゲットにしていることで知られています。
GoGraのLinuxバージョンの発見は、グループの成長するクロスプラットフォーム機能を強調しています。以前の操作は主にWindowsシステムに焦点を当てていました。
SymantecとCarbon Blackのセキュリティ研究者は、Microsoft Outlookメールボックスを利用するこのマルウェアとMicrosoft Graph APIを秘密のコマンド・アンド・コントロール(C2)チャネルとして識別し、攻撃者が従来のネットワーク防御を回避できるようにしています。
研究者は、共有されたコード構造と同じ開発者エラーにより、新しい亜種を以前のキャンペーンに関連付けました。
ターゲティングと初期感染
確認された被害者は観察されていませんが、VirusTotalにアップロードされた初期マルウェアサンプルはインドとアフガニスタンから発生しており、地域的な焦点を示唆しています。攻撃者は社会工学に大きく依存し、正当なドキュメントに見せかけた悪意のあるファイルを配布しています。
- インドユーザーをターゲットにしたZomato Pizzaテーマのドキュメント、
- 宗教的な旅を参照する「umrah.pdf」
- 「TheExternalAffairesMinister. pdf」および「Details Format. pdf」
実行されると、ドロッパーはデコイPDFまたはODTファイルを表示し、疑いを回避しながらマルウェアをサイレントインストールします。
Goベースのドロッパーはシステムに5.9MBのペイロードをデプロイし、~/.config/systemd/user/userserviceのユーザーディレクトリにファイルを書き込むことで永続性を確立します。
正当な「Conky」システムモニターに偽装したsystemdサービスとXDG自動起動エントリを作成します。
これにより、ユーザーに警告することなく、システム再起動後にマルウェアが自動的に実行されます。
秘密のC2チャネルとしてのOutlook
このマルウェアの最も高度な機能の1つは、Microsoftクラウドインフラストラクチャの悪用です。バックドアにはハードコードされたAzure Active Directory認証情報が含まれており、Microsoftサービスで認証し、Graph APIを通じて通信することができます。
従来のC2サーバーを使用する代わりに、マルウェアはODataクエリを使用して「Zomato Pizza」という名前の特定のOutlookメールボックスフォルダを2秒ごとにポーリングします。件名が「Input」で始まる受信メールを探します。
コマンドはこれらのメール内に隠蔽され、AES-CBCおよびbase64エンコーディングを使用して暗号化されています。メッセージを復号化した後、マルウェアは感染したシステムでコマンドを実行しますLinuxシェルを使用して。
実行結果は暗号化され、件名「Output」のメールで返送されます。証拠を削除するために、マルウェアは処理後に元のコマンドメールを削除します。
分析では、GoGraのLinuxおよびWindowsバージョンがほぼ同じコードベースを共有していることが示されています。研究者は、同じハードコードされた暗号化キーと関数名および文字列内の同じスペルミスを特定し、共有された開発元を確認しました。
Linux亜種は2秒ごとにポーリングしますが、Windowsバージョンはより長い間隔を使用します。ただし、どちらもMicrosoftサービスに依存して、悪意のあるトラフィックを正当なアクティビティと混ぜています。
このLinuxバックドアの出現は、Harvesterがツールキットを拡張し、より広い範囲のシステムをターゲットにするための継続的な努力を示しています。
Microsoft Outlookのような信頼されているクラウドサービスを悪用することで、グループは未検出のままでいる能力を大幅に向上させます。
このキャンペーンは、攻撃者が秘密通信に正当なプラットフォームを活用する傾向の増加を強化し、セキュリティチームにとって検出と帰属をより困難にしています。
翻訳元: https://gbhackers.com/linux-gogra-backdoor/
