Den statligt stödda spionagegruppen Harvester har utvecklat en ny Linux-version av sin bakdörr GoGra, som använder Microsofts molninfrastruktur och Outlook-brevlådor som dold kommunikationskanal. Attackerna riktar sig mot organisationer i Indien och Afghanistan.

Så fungerar GoGra

GoGra använder Microsofts Graph API och en specifik Outlook-brevlådemapp kallad "Zomato Pizza" som kommando- och kontrollkanal (C2). Bakdörren kontaktar brevlådan varannan sekund och söker efter mejl med ämnesraden "Input".

När ett matchande mejl hittas dekrypterar GoGra det Base64-kodade meddelandeinnehållet och kör det som skalkommandon via /bin/bash. Resultaten skickas tillbaka till angriparen i ett mejl med ämnesraden "Output". Efter exfiltreringen raderas det ursprungliga meddelandet för att dölja spåren.

"Skadlig kod som använder legitima molntjänster som C2-kanal kan kringgå traditionella nätverksbaserade försvarsmekanismer", skriver Symantec och Carbon Black Threat Hunter Team i sin rapport.

Social engineering som ingång

Attackerna inleds med social engineering där offren luras att öppna ELF-binärer förklädda som PDF-dokument. Droppern visar sedan ett lockdokument medan bakdörren installeras i bakgrunden.

Koppling till tidigare kampanjer

Harvester dokumenterades först av Symantec 2021 i samband med informationsstöldkampanjer mot telekom-, myndighets- och IT-sektorn i Sydasien. Gruppen använde då ett Windows-implantat kallat Graphon som också utnyttjade Microsoft Graph API.

I augusti 2024 kopplades gruppen till en attack mot en medieorganisation i Sydasien med den första Go-baserade versionen av GoGra för Windows. Den nya Linux-varianten visar att gruppen aktivt expanderar sitt verktygsarsenal till fler plattformar.

Forskarna identifierade matchande hårdkodade stavfel i både Windows- och Linux-versionerna, vilket tyder på att samma utvecklare ligger bakom båda verktygen.

Vem är i riskzonen?

Artefakter uppladdade till VirusTotal härstammar från Indien och Afghanistan, vilket pekar mot att organisationer i Sydasien är de primära målen. Sektorer som telekommunikation, myndigheter, IT och media bör vara särskilt vaksamma.

Organisationer rekommenderas att övervaka ovanlig trafik mot Microsoft Graph API, granska oväntade Outlook-aktiviteter och utbilda personal i att identifiera social engineering-attacker med förklädda filer.