El actor de amenazas conocido como Segador se ha atribuido a una nueva versión Linux de su GoGra puerta trasera desplegada como parte de ataques probablemente dirigidos a entidades en el sur de Asia.
«El malware utiliza la API legítima de Microsoft Graph y los buzones de correo de Outlook como un canal encubierto de comando y control (C2), lo que le permite eludir las defensas tradicionales de la red perimetral», dijo Symantec y Carbon Black Threat Hunter Team en un informe compartido con The Hacker News.
La empresa de ciberseguridad dijo que identificó artefactos cargados en la plataforma VirusTotal desde India y Afganistán, lo que sugiere que los dos países pueden ser el objetivo de la actividad de espionaje.
Symantec documentó públicamente por primera vez a Harvester a finales de 2021, vinculándolo con una campaña de robo de información dirigida a los sectores de telecomunicaciones, gobierno y tecnología de la información en el sur de Asia desde junio de 2021, utilizando un implante personalizado llamado Graphon que utilizaba la API Microsoft Graph para C2.
La actividad posterior señalada en agosto de 2024 conectó al grupo de piratas informáticos con un ataque dirigido a una organización de medios anónima en el sur de Asia con una puerta trasera basada en Go nunca antes vista llamada GoGra. Los últimos hallazgos sugieren que el adversario continúa expandiendo su conjunto de herramientas más allá de Windows e infectando máquinas Linux con una nueva variante de la misma puerta trasera.
Los ataques emplean ingeniería social para engañar a las víctimas para que abran archivos binarios ELF disfrazados de documentos PDF. Luego, el cuentagotas procede a mostrar un documento señuelo mientras abre sigilosamente la puerta trasera.
Al igual que su contraparte de Windows, la versión Linux de GoGra abusa de la infraestructura de la nube de Microsoft para comunicarse con una carpeta específica del buzón de correo de Outlook llamada «Zomato Pizza» cada dos segundos mediante consultas del Protocolo de datos abierto (OData). La puerta trasera escanea la bandeja de entrada en busca de mensajes de correo electrónico entrantes con una línea de asunto que comienza con la palabra «Entrada».
Una vez que se recibe un correo electrónico que coincide con los criterios, descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como comandos de shell usando «/bin/bash». Los resultados de la ejecución se envían al operador en un mensaje de correo electrónico con el asunto «Salida». Una vez completado el paso de exfiltración, el implante borra el mensaje de tarea original para cubrir las huellas.
«A pesar de utilizar diferentes arquitecturas de implementación y sistemas operativos, la lógica subyacente de C2 permanece sin cambios», dijeron Symantec y Carbon Black, y agregaron que los equipos «también identificaron varios errores ortográficos codificados y coincidentes en ambas plataformas, lo que apunta a que el mismo desarrollador está detrás de ambas herramientas».
«El uso de una nueva puerta trasera de Linux muestra que Harvester continúa expandiendo su conjunto de herramientas y desarrollando activamente nuevas herramientas para atacar a una gama más amplia de víctimas y máquinas».
