Forscher der Teams Symantec Threat Hunter und VMware Carbon Black haben eine neue Welle gezielter Angriffe der APT-Gruppe Harvester analysiert. Im Mittelpunkt steht eine frische Linux-Variante des GoGra-Backdoors, die Microsofts Graph API und Outlook-Postfaecher als verdeckten Command-and-Control‑(C2)‑Kanal ausnutzt. Dadurch verschmilzt die Schadkommunikation mit regulärem Cloud-Traffic und wird im Netzwerk deutlich schwerer erkennbar.
Harvester-APT: Cyberspionage mit Schwerpunkt auf Südasien
Die Harvester-Gruppe wurde von Symantec bereits Ende 2021 ausführlich beschrieben. Damals wurden ihr Cyberspionage‑Operationen gegen Telekommunikationsunternehmen, Regierungsstellen und IT‑Organisationen in mehreren Ländern Südasiens zugeschrieben. Im Einsatz war unter anderem ein eigener Implantat‑Typ namens Graphon, der ebenfalls das Microsoft Graph API als Steuerungsinfrastruktur nutzte.
Im August 2024 verknüpften Analysten Harvester mit der Kompromittierung eines nicht namentlich genannten Medienunternehmens in Südasien, bei der ein in Go geschriebener Backdoor für Windows namens GoGra eingesetzt wurde. Die aktuelle Kampagne zeigt, dass die Angreifer die gleiche Funktionalität nun auf Linux-Systeme übertragen, um mehr Zielumgebungen abzudecken und ihre Infrastruktur widerstandsfähiger zu machen.
Artefakte der Linux-Variante von GoGra wurden laut den Forschern über VirusTotal aus Indien und Afghanistan eingereicht. Dies stuetzt die Annahme, dass die Kampagne weiterhin regional auf Südasien fokussiert ist, auch wenn die eingesetzten Taktiken technisch leicht auf andere Regionen übertragbar sind.
Linux-GoGra: ELF-Tarnung als PDF und unauffällige Backdoor-Installation
Der initiale Angriffsvektor von Linux GoGra basiert stark auf Social Engineering. Opfer erhalten ELF-Binärdateien, die sich als PDF‑Dokumente tarnen. Dateinamen, Symbole und Begleittexte sind so gewählt, dass Anwender motiviert werden, die Dateien manuell auszuführen – insbesondere in Umgebungen, in denen technische Schutzmassnahmen nur begrenzt greifen.
Beim Start des vermeintlichen PDF öffnet der Dropper ein täuschend echt wirkendes Deckdokument, um Benutzerverdacht zu zerstreuen. Parallel dazu installiert er im Hintergrund den eigentlichen GoGra-Backdoor und aktiviert ihn. Für die betroffene Person wirkt der Vorgang wie ein normales Oeffnen einer PDF-Datei, was die Wahrscheinlichkeit einer Meldung an das Sicherheitsteam deutlich reduziert.
Microsoft Graph und Outlook als C2: „Zomato Pizza“-Ordner und Kommandos per E-Mail
Wie bereits in der Windows-Version setzt auch Linux GoGra massiv auf die Cloud-Infrastruktur von Microsoft. Der Backdoor verbindet sich mit einem spezifischen Outlook-Postfach und fragt über das Microsoft Graph API alle zwei Sekunden eine Ordnerstruktur ab. Besonders auffällig ist ein eigens angelegter Ordner mit dem Namen „Zomato Pizza“, der über OData-basierte Anfragen adressiert wird.
1. Kommandoeingang über „Input“-E-Mails. GoGra durchsucht eingehende Nachrichten in diesem Ordner nach Betreffzeilen mit dem Praefix „Input“. Diese dienen als Markierung für neue Operator-Befehle. Das Thema „Input/Output“-Kodierung über reguläre E-Mail‑Header ist ein typisches Merkmal von E-Mail-basierten C2-Kanaelen.
2. Entschlüsselung und Ausführung unter /bin/bash. Der eigentliche Auftrag liegt im Nachrichtentext als Base64‑kodierte Zeichenkette vor. Nach Dekodierung führt GoGra den Inhalt direkt als Shell‑Befehl über /bin/bash aus. Dadurch erhalten Angreifer nahezu uneingeschränkte Kontrolle: von Dateizugriff und Systemreconnaissance bis hin zu Datendiebstahl und lateraler Bewegung.
3. Rueckkanal über „Output“-Mails. Die Ausgaben der Shell-Befehle werden gesammelt und als Antwort-E-Mail mit dem Betreff „Output“ an dasselbe Postfach zurückgesendet. Exfiltrierte Informationen verstecken sich somit innerhalb legitim wirkender Outlook-Kommunikation und sind für viele klassische Sicherheitslösungen kaum von normalem Datenverkehr zu unterscheiden.
4. Spurenverwischung durch Loeschen der Befehlsmails. Nachdem ein Auftrag abgearbeitet wurde, entfernt GoGra die originale „Input“-Nachricht aus dem Postfach. Dadurch sinkt die Anzahl forensisch auswertbarer Artefakte und eine nachträgliche Rekonstruktion des Angriffs wird erheblich erschwert. Forscher weisen darauf hin, dass die C2-Logik in der Windows- und Linux-Version nahezu identisch ist und beide Codebasen sogar identische Rechtschreibfehler enthalten, was auf denselben Entwicklerkreis schließen lässt.
„Living off the Cloud“: Warum Microsoft-365-basierte C2-Kanaele schwer zu stoppen sind
Die Nutzung von Cloud-Diensten grosser Provider wie Microsoft 365 und des Microsoft Graph API als C2-Infrastruktur ist ein wachsender Trend unter fortgeschrittenen Angreifergruppen. Solche „living off the cloud“-Techniken verschleiern bösartige Aktivitäten im Hintergrund legitimer Geschäftsprozesse und nutzen bestehende Vertrauensmodelle aus.
Verbindungen zu *.microsoft.com gelten in vielen Unternehmen als vertrauenswürdig und werden von Firewalls und Proxys weitgehend ungefiltert zugelassen. Die tiefergehende Inhaltsinspektion ist durch durchgaengig verschlüsselten TLS-Traffic technisch anspruchsvoll und ressourcenintensiv. Ein pauschales Blockieren von Microsoft-Cloud-Adressen würde wiederum zentrale Geschäftsprozesse beeinträchtigen, weshalb Organisationen solche Massnahmen nur ungern ergreifen.
Mehrere aktuelle Threat-Reports grosser Sicherheitsanbieter zeigen, dass C2-Kanaele über legitime Cloud-Plattformen in zielgerichteten Angriffen signifikant zunehmen. Harvester reiht sich mit GoGra konsequent in diese Entwicklung ein und demonstriert, wie effektiv Cloud-basierte Command-and-Control-Strukturen die Verteidigungslinien klassischer Perimetersicherheit umgehen können.
Schutzmassnahmen gegen Linux-GoGra und vergleichbare Backdoors
Nutzer- und E-Mail-Sicherheit staerken. Mitarbeitende sollten gezielt dafür sensibilisiert werden, dass ELF-Binaries unter Linux auch dann gefährlich sein können, wenn sie wie PDF‑Dokumente aussehen. Auf Gateway-Ebene empfiehlt sich die konsequente Blockierung oder Isolation ausführbarer Anhänge aus externen Quellen, insbesondere in sensiblen Bereichen wie Verwaltung, Medien oder kritischer Infrastruktur.
Microsoft-365- und Graph-API-Monitoring etablieren. Organisationen sollten Protokolle zu Microsoft Graph API, ungewöhnlichen Postfachzugriffen und neu angelegten oder selten genutzten Ordnern zentral sammeln und korrelieren. Verdächtig sind etwa hochfrequente Anfragen im Sekundenrhythmus an dieselbe Ordner-ID oder Logins von Servicekonten, die ausserhalb der erwarteten Arbeitsmuster auf Postfaecher zugreifen.
Endpoint-Schutz fuer Linux ausbauen. Moderne EDR/XDR-Loesungen mit Linux-Unterstützung sollten verpflichtend sein, insbesondere auf Servern mit Internetzugang. Kritisch ist die Ueberwachung von ELF-Ausführungen aus Benutzerverzeichnissen und temporären Ordnern. Wo möglich, sollte die Ausführung von /bin/bash für Service- oder Maschinenkonten eingeschränkt und eine File-Integrity-Monitoring-Lösung eingesetzt werden.
Proaktive Threat Hunting und Forensik. Sicherheitsteams sollten Hunting-Playbooks definieren, die explizit auf Harvester-spezifische Taktiken, Techniken und Prozeduren (TTPs) abzielen: etwa die Suche nach ungewohnten Graph-API-Requests, unbekannten ELF-Binaries, E-Mail-Ordnern mit auffälligen Namen wie „Zomato Pizza“ oder auffälliger Nutzung von /bin/bash in Kontexten grafischer Dateimanager oder Mail-Clients. Organisationen in Süd- und Zentralasien sollten diese Szenarien mit hoher Priorität berücksichtigen.
Die neue Linux-Variante von GoGra unterstreicht, dass Harvester seine Werkzeuge konsequent weiterentwickelt und plattformübergreifende Backdoors mit Cloud-basierten C2-Kanaelen kombiniert. Unternehmen sollten ihre impliziten Vertrauensannahmen gegenüber Cloud-Diensten kritisch prüfen, Monitoring und Protokollierung für Microsoft 365 ausbauen und Linux-Systeme mit denselben hohen Sicherheitsstandards behandeln wie Windows-Endpunkte. Wer frühzeitig in Schulungen, sichtbares Monitoring und belastbare Incident-Response-Prozesse investiert, erhoeht die Chance erheblich, Backdoors wie GoGra zu entdecken, bevor sensible Daten in die Hände von Spionagegruppen gelangen.
