Аналітики Symantec Threat Hunter та VMware Carbon Black попереджають про нову хвилю цільових атак, у яких APT-група Harvester застосовує свіже Linux-збірку бекдора GoGra. Ключова особливість кампанії — використання Microsoft Graph API та поштових скриньок Outlook як прихованого C2-каналу, що суттєво ускладнює виявлення на мережевому периметрі.
Harvester: кібершпигунська активність з фокусом на Південну Азію
Групу Harvester детально описали фахівці Symantec наприкінці 2021 року. Тоді їй приписали низку кібершпигунських операцій проти телеком-компаній, держорганів та IT-сектору країн Південної Азії, які тривали щонайменше з червня 2021 року. В цих атаках використовувався власний імплант Graphon, що вже тоді опирався на Microsoft Graph API для командно-контрольної інфраструктури.
У серпні 2024 року дослідники пов’язали Harvester з компрометацією неназваного медіахолдингу в регіоні, де застосовувалася Windows-версія бекдора GoGra, написана мовою Go. Поточні знахідки вказують, що зловмисники перенесли функціональність GoGra на Linux, розширивши коло потенційних жертв і підвищивши стійкість своєї інфраструктури до збоїв.
За даними дослідників, зразки Linux GoGra були завантажені на VirusTotal з території Індії та Афганістану, що додатково підтверджує географічний фокус на Південній Азії. Водночас застосовані техніки є універсальними й можуть бути без суттєвих змін переорієнтовані на інші регіони та галузі.
Linux GoGra: ELF під виглядом PDF і малопомітний запуск бекдора
У Linux-атаках Harvester активно експлуатує соціальну інженерію. Жертвам надсилають ELF-файли, замасковані під PDF-документи: підбираються правдоподібні назви, іконки та супровідні повідомлення, які спонукають користувача відкрити файл вручну. Для більшості нетехнічних співробітників різниця між ELF і справжнім документом виявляється непомітною.
Після запуску такий файл працює як дроппер: демонструє «приманковий» документ, щоб не викликати підозр, а паралельно в тлі встановлює та активує бекдор GoGra. Назовні це виглядає як звичайне відкриття PDF, тож користувач рідко повідомляє про інцидент службі безпеки, що дає зловмисникам час для закріплення в мережі.
Канал C2 через Microsoft Graph і Outlook: папка «Zomato Pizza» та команди-листи
Як і у випадку з Windows-варіантом, Linux GoGra використовує хмарну інфраструктуру Microsoft як командно-контрольний канал. Бекдор підключається до заздалегідь підготовленої поштової скриньки Outlook і приблизно кожні дві секунди опитує специфічну папку з нетиповою назвою «Zomato Pizza», надсилаючи OData-запити через Microsoft Graph API.
Отримання завдань. GoGra аналізує нові повідомлення в цій папці та відбирає листи, тема яких починається з префікса «Input». Такий префікс виступає маркером команд, що надходять від оператора.
Виконання команд. Тіло листа містить завдання у вигляді рядка, закодованого в Base64. Після декодування GoGra виконує отриманий вміст як shell-команди через /bin/bash. Таким чином оператор може реалізувати майже будь-які дії: збір файлів, знімки конфігурацій, дослідження мережі та підготовку до подальшої експлуатації.
Ексфільтрація результатів. Вихід команд упаковується та надсилається атакувальнику як відповідь на пошту з темою «Output». Весь життєвий цикл управління й передачі даних відбувається в межах легітимного поштового трафіку Microsoft 365, що значно ускладнює його фільтрацію.
Приховування слідів. Після обробки завдання GoGra видаляє початковий лист-команду, зменшуючи кількість артефактів у скриньці та ускладнюючи подальший форензик-аналіз. Дослідники відзначають, що логіка C2-взаємодії Windows- та Linux-версій GoGra практично ідентична, а спільні орфографічні помилки в коді обох зразків вказують на одного й того ж розробника чи команду.
«Living off the cloud»: чому C2 через Microsoft 365 важко виявити
Використання хмарної інфраструктури великих провайдерів як C2-каналу — стійкий тренд серед розвинених APT-груп. У випадку з Harvester залежність від Microsoft 365 та Graph API дає одразу кілька переваг для зловмисників:
Маскування шкідливого трафіку. З’єднання з доменами *.microsoft.com для більшості організацій є довіреними за замовчуванням. Такий трафік рідко обмежується на міжмережевих екранах, а отже GoGra зливається з легітимними зверненнями користувачів до хмарних сервісів.
Обхід периметрових засобів захисту. Інспекція вмісту HTTPS-сесій із Microsoft ускладнена через повсюдне використання TLS. Без розшифрування трафіку виявити специфічні запити до Graph API та аномальну роботу з поштовими папками практично неможливо.
Висока «живучість» C2. Блокування IP-адрес або доменів великого хмарного провайдера неминуче б’є по бізнес-процесах, тому такі кроки застосовуються вкрай рідко. Це робить інфраструктуру управління атакою більш стійкою до контрзаходів, ніж традиційні «підпільні» C2-сервери.
Як захистити Linux-інфраструктуру від GoGra та подібних бекдорів
Підвищення обізнаності користувачів та захист пошти. Працівників варто навчати розпізнавати підозрілі вкладення, особливо «документи», які насправді є ELF-файлами. На поштових шлюзах доцільно блокувати або ізолювати виконувані вкладення з зовнішніх доменів, а також маркувати листи, які приходять з-за меж організації.
Моніторинг Microsoft 365 та Graph API. Необхідно налаштувати збір та кореляцію логів доступу до Microsoft Graph, включно з нестандартними зверненнями до поштових скриньок і папок. Часті опитування однієї й тієї ж папки (наприклад, кожні пару секунд) сервісним обліковим записом — сильний індикатор потенційного C2.
Захист Linux-хостів. Рекомендується використовувати сучасні EDR/XDR-рішення з підтримкою Linux, контролювати запуск ELF-бінарників із користувацьких каталогів і тимчасових директорій, обмежувати можливість виконання /bin/bash для сервісних облікових записів, а також запровадити контроль цілісності файлової системи.
Проактивний threat hunting. Регулярний пошук ознак компрометації має включати аналіз аномальної поштової активності, виявлення невідомих ELF-файлів, а також фіксацію запусків /bin/bash у нетипових контекстах. Організаціям, що працюють у Південній Азії або взаємодіють з її ринками, варто явно враховувати TTP групи Harvester при розробці сценаріїв мисливства за загрозами.
Поява Linux-версії GoGra демонструє, що Harvester цілеспрямовано розширює свій арсенал від робочих станцій Windows до серверних Linux-систем, одночасно заглиблюючись у хмарну екосистему Microsoft 365. Щоб мінімізувати ризики, організаціям варто переосмислити рівень довіри до хмарних сервісів, посилити спостережність за Microsoft 365 та Graph API, інвестувати в захист Linux-інфраструктури й навчання персоналу. Чим раніше будуть виявлені аномалії у взаємодії з хмарою та поштою, тим більше шансів заблокувати подібні бекдори ще до витоку конфіденційних даних або порушення безперервності бізнесу.
