Исследователи из команд Symantec Threat Hunter и VMware Carbon Black зафиксировали новую волну целевых атак, в рамках которой группировка Harvester задействует свежую Linux-версию бэкдора GoGra. Ключевая особенность кампании — использование легитимной инфраструктуры Microsoft Graph API и почтовых ящиков Outlook в качестве скрытого канала управления (C2), что существенно осложняет обнаружение на периметре сети.
Harvester: кибершпионаж, ориентированный на Южную Азию
Группировка Harvester была подробно описана специалистами Symantec еще в конце 2021 года. Тогда ей приписали серию кибершпионских операций против организаций в сфере связи, государственных структур и IT-сектора в странах Южной Азии, начиная с июня 2021 года. Для этих атак применялся собственный имплант Graphon, который также опирался на Microsoft Graph API для организации командно-контрольной инфраструктуры.
В августе 2024 года аналитики связали Harvester с компрометацией неназванного медиа-холдинга в Южной Азии с применением нового бэкдора на языке Go — GoGra под Windows. Текущие находки указывают, что злоумышленники пошли дальше и перенесли функциональность GoGra на Linux, расширяя охват жертв и повышая устойчивость своей инфраструктуры.
По данным исследователей, артефакты Linux-варианта были загружены на VirusTotal из Индии и Афганистана, что косвенно подтверждает фокус кампании именно на регионе Южной Азии. Однако используемые тактики и технологии универсальны и могут быть легко переориентированы на другие географии.
Linux GoGra: маскировка под PDF и скрытый запуск бэкдора
В атаке на Linux Harvester делает ставку на социальную инженерию. Жертве доставляют ELF-файлы, замаскированные под PDF‑документы: нападающие используют правдоподобные названия, иконки и сопроводительный текст, подталкивая пользователя вручную запустить файл.
После запуска срабатывает дроппер: он открывает поддельный «приманочный» документ, чтобы не вызвать подозрений, а параллельно в фоне устанавливает и активирует бэкдор GoGra. Такой подход позволяет атаке выглядеть как обычное открытие PDF и снижает вероятность того, что пользователь сообщит о странном поведении в службу безопасности.
Microsoft Graph и Outlook как канал C2: папка «Zomato Pizza» и команды через письма
Как и Windows-версия, Linux GoGra активно использует облачную инфраструктуру Microsoft. Бэкдор подключается к конкретному почтовому ящику Outlook и каждые две секунды обращается к определенной папке с необычным именем «Zomato Pizza», используя запросы на основе Open Data Protocol (OData) через Microsoft Graph API.
Алгоритм работы следующий:
1. Поиск задач от оператора. GoGra сканирует входящие сообщения в целевой папке и отбирает письма, в теме которых есть префикс «Input». Это своеобразный маркер команд, отправленных оператором.
2. Расшифровка и выполнение команд. Тело письма содержит задание в виде Base64‑закодированной строки. Бэкдор декодирует содержимое, после чего выполняет его как shell-команды через /bin/bash. Это позволяет атакующему выполнять практически любые действия: собирать файлы, снимать дампы конфигураций, проводить разведку сети.
3. Отправка результатов. Вывод команд собирается и пересылается обратно оператору в виде ответа на почту с темой «Output». Таким образом, весь цикл управления и эксфильтрации данных скрыт внутри легитимного почтового трафика Microsoft.
4. Сокрытие следов. После обработки задания GoGra удаляет исходное «задающее» письмо, минимизируя количество артефактов в почтовом ящике и усложняя последующий форензик-анализ.
Исследователи отмечают, что логика C2‑взаимодействия у Windows- и Linux‑варианта GoGra практически идентична. Более того, в коде обоих образцов обнаружены совпадающие орфографические ошибки, что указывает на работу одного и того же разработчика или команды разработчиков.
Почему C2 через облако Microsoft так сложно обнаружить
Использование облачной инфраструктуры крупных провайдеров (в данном случае Microsoft 365 и Graph API) — устойчивая тенденция среди продвинутых группировок. Такой подход позволяет:
• Маскировать вредоносный трафик под типичный легитимный обмен данными с облачными сервисами. Для большинства организаций соединения с Microsoft считаются доверенными, и жесткие ограничения к ним не применяются.
• Обходить периметровые средства защиты. Межсетевые экраны и прокси зачастую разрешают трафик к *.microsoft.com почти без ограничений, а инспекция содержимого усложняется из‑за сквозного шифрования (TLS).
• Повышать живучесть инфраструктуры C2. Блокировка IP‑адресов или доменов крупного облака ведет к существенным сбоям в бизнес‑процессах, поэтому организации крайне неохотно применяют такие меры, даже при подозрительной активности.
Подобные техники «living off the cloud» уже фиксировались в ряде кампаний других APT-группировок, и, по данным открытых отчетов вендоров ИБ за последние годы, их доля в целевых атаках постепенно растет. Harvester закономерно следует этой тенденции.
Как защитить Linux-инфраструктуру от GoGra и схожих бэкдоров
Для снижения рисков, связанных с Linux GoGra и аналогичными бэкдорами, целесообразно уделить внимание нескольким направлениям защиты.
Усиление почтовой и пользовательской безопасности. Организовать обучение сотрудников распознаванию подозрительных вложений, особенно ELF‑файлов, маскирующихся под документы. На уровне почтового шлюза — блокировать или изолировать исполняемые вложения, пришедшие из внешних доменов.
Мониторинг активности Microsoft 365 и Graph API. Настроить сбор и корреляцию логов доступа к Microsoft Graph, нетипичных обращений к почтовым ящикам и нестандартным папкам. Подозрительными признаками могут быть частые, регулярные обращения (например, каждые несколько секунд) к одной и той же папке или ящику сервисным аккаунтом.
Защита Linux-узлов. Использовать современные EDR/XDR‑решения с поддержкой Linux, контролировать запуск ELF‑файлов из пользовательских каталогов и временных директорий, ограничить выполнение /bin/bash для сервисных аккаунтов и внедрить контроль целостности файловой системы.
Разбор инцидентов и охота за угрозами. Периодически проводить pro‑active threat hunting, включая поиск аномальной почтовой активности, неизвестных ELF‑бинарников и признаков использования /bin/bash в нетипичных контекстах. Для организаций в регионе Южной Азии особенно важно учитывать TTP именно Harvester при построении сценариев охоты.
Появление Linux‑версии GoGra подтверждает, что Harvester активно развивает свой арсенал и стремится охватить как можно более широкий спектр целевых систем — от Windows‑станций до Linux‑серверов. Использование Microsoft Graph и Outlook в качестве C2‑канала делает подобные атаки трудновыявляемыми, но не неизбежными. Организациям стоит пересмотреть свои модели доверия к облачным сервисам, уделить больше внимания мониторингу Microsoft 365 и защите Linux‑инфраструктуры, а также инвестировать в обучение сотрудников и процессы реагирования. Чем раньше будут замечены аномалии во взаимодействиях с облаком и почтой, тем выше шансы выявить и нейтрализовать такие бэкдоры до утечки критичных данных.
