23.04.2026
1 хв
209
Дослідники кібербезпеки виявили нову Linux-версію бекдора GoGra, яка використовує легітимну інфраструктуру Microsoft для прихованого управління зараженими системами. Шкідник застосовує Microsoft Graph API та поштові скриньки Outlook як канал зв’язку, що значно ускладнює його виявлення.
У кібербезпеці зафіксували появу нового варіанту бекдору GoGra для Linux. Його головна особливість у тому, що він використовує легітимну інфраструктуру Microsoft, а саме поштові скриньки Outlook, як канал для прихованої доставки команд і отримання результатів.
Шкідник пов’язують із групою Harvester. Вважається, що вона працює за підтримки держави і веде шпигунські кампанії щонайменше з 2021 року. У фокусі атак традиційно залишаються телеком-компанії, державні установи та IT-організації в регіоні Південної Азії. Для операцій Harvester використовує власні інструменти, включно з бекдорами та завантажувачами.
Новий зразок проаналізували дослідники Symantec після того, як він з’явився на VirusTotal. Вони з’ясували, що початковий доступ до системи отримують через соціальну інженерію. Користувача змушують запустити ELF-файл, замаскований під звичайний PDF-документ.
Після запуску в системі розгортається дропер на Go, який встановлює i386-версію шкідливого навантаження. Для закріплення він використовує systemd і механізм автозапуску XDG. При цьому маскується під легітимний системний монітор Conky, щоб не викликати підозр.
Ключова частина атаки побудована навколо Microsoft Graph API. Шкідник використовує жорстко прописані облікові дані Azure Active Directory, щоб пройти автентифікацію в хмарі Microsoft і отримати OAuth2-токени. Після цього він працює з поштовою скринькою Outlook як із каналом управління.
Далі механіка виглядає досить просто, але ефективно:
кожні дві секунди перевіряється папка Outlook із назвою «Zomato Pizza»
шукаються листи з темою, що починається на «Input»
вміст повідомлень розшифровується за допомогою base64 і AES-CBC
отримані команди виконуються безпосередньо в системі
Після виконання шкідник формує відповідь, шифрує її через AES і відправляє назад оператору у вигляді листа з темою «Output».
Щоб мінімізувати шанси на виявлення, GoGra одразу видаляє оригінальні листи з командами. Для цього використовується HTTP-запит DELETE, що суттєво ускладнює подальший аналіз інциденту.
Окремо дослідники звернули увагу на технічні деталі. Linux-версія майже повністю повторює код варіанту для Windows. Збігаються навіть дрібні речі, включно з однаковими помилками в рядках і назвах функцій, а також використовується той самий AES-ключ. Це вказує на одного й того ж розробника і напряму пов’язує обидві версії з Harvester.
У Symantec вважають, що поява Linux-варіанту свідчить про розширення можливостей групи. Harvester поступово виходить за межі однієї платформи і намагається охопити ширший спектр систем, що робить їхні кампанії ще небезпечнішими.
