Harvester APT グループが GoGra バックドアの新しい Linux 亜種で、その諜報兵器庫を静かに拡張しました。この亜種は、Microsoft Outlook メールボックス内に指令・制御 (C2) トラフィックを巧みに隠蔽し、従来のネットワーク防御での検出をはるかに困難にしています。
Symantec および Carbon Black Threat Hunter Team の研究者がマルウェアを発見しました。
彼らはそれを以前に知られていた Windows ベースの Harvester キャンペーンに結びつけ、このグループの成長するクロスプラットフォーム機能を確認しました。
攻撃はソーシャルエンジニアリングから始まります。被害者は「TheExternalAffairesMinister.pdf」や「Zomato Pizza」(人気のインドの食料配達プラットフォームへの言及)といったファイル名で偽装された詐欺的なドキュメントを使用して誘い出されます。
Go ベースのドロッパーは、その後、約 5.9 MB の i386 実行可能ファイルをデプロイし、ペイロードを ~/.config/systemd/user/userservice に書き込みます。
マルウェアは systemd ユーザー ユニットと XDG オートスタート エントリを作成することで永続性を確保し、正当な Conky Linux システム モニターになりすまします。
Outlook メールボックスの悪用
GoGra が特に危険な理由は、Microsoft 独自のインフラストラクチャの悪用です。
このインプラントには、ハードコードされた Azure AD 認証情報、テナント ID、クライアント ID、およびクライアント シークレットが含まれており、OAuth2 経由でサイレントに認証し、「Zomato Pizza」という名前の指定された Outlook メールボックス フォルダを通じて通信できます。
バックドアは 2 秒ごとに、そのフォルダの「Input」で始まる件名を持つメールをポーリングします。コマンドは AES-CBC を使用して復号化され、/bin/bash -c 経由で実行されます。
結果は暗号化され、「Output」という件名の下でメールで返送された後、HTTP DELETE リクエスト経由で元のメッセージが削除され、証拠が消去されます。
異なるオペレーティング システムをターゲットにしているにもかかわらず、Linux と Windows の両方の亜種は、同じ AES 暗号化キー(b14ca5898a4e4133bbce2ea2315a1916)と関数名の ExecuteCommand および DeleteMessage におけるハードコードされた同一のタイプミスを含む、ほぼ同じコードベースを共有しており、単一の開発者が両方のツールを構築したことを強く示唆しています。
主な違いはアーキテクチャとビーコンタイミングにあります。Linux 亜種は i386 をターゲットにし、2 秒ごとにポーリングします。一方、Windows バージョンは x64 DLL を使用し、HTTP 204 応答時に 5 分間スリープします。
初期の VirusTotal 提出は、インドとアフガニスタンから発信され、Harvester の南アジアへの歴史的な焦点と一致しています。
インドの文化的および政治的なトピックを参照するデコイ ドキュメントは、高度にカスタマイズされた、地域に焦点を当てた諜報作戦を強化しています。
Harvester は、少なくとも 2021 年以降に活動している国家を背景とした脅威アクターと考えられています。
特に南アジアの政府および企業のターゲット組織は、通常でない Microsoft Graph API 認証パターンを監視し、OAuth2 アプリ登録を監査し、ドキュメント ファイルになりすましている許可されていない ELF バイナリをブロックする必要があります。更新された検出署名については、Symantec Protection Bulletin を参照してください。
翻訳元: https://gbhackers.com/outlook-mailboxes-abused/
