El actor de amenazas conocido como Segador se ha atribuido a una nueva lectura Linux de su GoGra puerta trasera desplegada como parte de ataques probablemente dirigidos a entidades en el sur de Asia.
“El malware utiliza la API legítima de Microsoft Graph y los buzones de correo de Outlook como un canal encubierto de comando y control (C2), lo que le permite eludir las defensas tradicionales de la red perimetral”, dijo Symantec y Carbon Black Threat Hunter Team en un mensaje compartido con The Hacker News.
La empresa de ciberseguridad dijo que identificó artefactos cargados en la plataforma VirusTotal desde India y Afganistán, lo que sugiere que los dos países pueden ser el objetivo de la actividad de espionaje.
Symantec documentó públicamente por primera vez a Harvester a finales de 2021, vinculándolo con una campaña de robo de información dirigida a los sectores de telecomunicaciones, gobierno y tecnología de la información en el sur de Asia desde junio de 2021, utilizando un implante personalizado llamado Graphon que utilizaba la API Microsoft Graph para C2.
La actividad posterior señalada en agosto de 2024 conectó al clan de piratas informáticos con un ataque dirigido a una estructura de medios anónima en el sur de Asia con una puerta trasera basada en Go nunca antiguamente tino citación GoGra. Los últimos hallazgos sugieren que el adversario continúa expandiendo su conjunto de herramientas más allá de Windows e infectando máquinas Linux con una nueva reforma de la misma puerta trasera.
Los ataques emplean ingeniería social para engañar a las víctimas para que abran archivos binarios ELF disfrazados de documentos PDF. Luego, el cuentagotas procede a mostrar un documento señuelo mientras abre sigilosamente la puerta trasera.
Al igual que su contraparte de Windows, la lectura Linux de GoGra abusa de la infraestructura de la cirro de Microsoft para comunicarse con una carpeta específica del compartimiento de correo de Outlook citación “Zomato Pizza” cada dos segundos mediante consultas del Protocolo de datos despejado (OData). La puerta trasera escanea la bandeja de entrada en examen de mensajes de correo electrónico entrantes con una secante de asunto que comienza con la palabra “Entrada”.
Una vez que se recibe un correo electrónico que coincide con los criterios, descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como comandos de shell usando “/bin/bash”. Los resultados de la ejecución se envían al cámara en un mensaje de correo electrónico con el asunto “Salida”. Una vez completado el paso de exfiltración, el implante sedimento el mensaje de tarea flamante para cubrir las huellas.
“A pesar de utilizar diferentes arquitecturas de implementación y sistemas operativos, la dialéctica subyacente de C2 permanece sin cambios”, dijeron Symantec y Carbon Black, y agregaron que los equipos “igualmente identificaron varios errores ortográficos codificados y coincidentes en ambas plataformas, lo que apunta a que el mismo desarrollador está detrás de ambas herramientas”.
“El uso de una nueva puerta trasera de Linux muestra que Harvester continúa expandiendo su conjunto de herramientas y desarrollando activamente nuevas herramientas para atacar a una grado más amplia de víctimas y máquinas”.
