详细内容或原文请订阅后点击阅览
Microsoft Graph API 被新的 GoGra Linux 恶意软件滥用以进行隐藏通信
一种新的 GoGra Linux 恶意软件使用 Microsoft Graph API 和 Outlook 收件箱来传递有效负载,使其变得隐蔽且难以检测。新的 Linux 版本的 GoGra 后门使用 Microsoft 的 Graph API 和 Outlook 收件箱来秘密传递恶意负载。该恶意软件与 Harvester 网络间谍组织有关,该组织是 [...]
来源:Security Affairs _恶意软件Microsoft Graph API 被新的 GoGra Linux 恶意软件滥用以进行隐藏通信
一种新的 GoGra Linux 恶意软件使用 Microsoft Graph API 和 Outlook 收件箱来传递有效负载,使其变得隐蔽且难以检测。
新的 Linux 版本的 GoGra 后门使用 Microsoft 的 Graph API 和 Outlook 收件箱来秘密传送恶意负载。该恶意软件与 Harvester 网络间谍组织有关,该组织被认为是一个民族国家行为者。恶意代码与合法流量混合在一起,使检测变得更加困难,并提高了其在有针对性的网络间谍活动中的有效性。
“Harvester APT 组织开发了一种新的、高规避性的 Linux 版本的 GoGra 后门。该恶意软件使用合法的 Microsoft Graph API 和 Outlook 邮箱作为隐蔽的命令和控制 (C2) 通道,使其能够绕过传统的外围网络防御。”阅读博通赛门铁克发布的报告。 “由于代码相似,赛门铁克和 Carbon Black Threat Hunter 团队将这种新的 Linux 恶意软件与 Harvester 之前已知的 Windows 间谍活动联系起来,表明威胁行为者正在积极扩展其跨平台功能。”
初步证据表明,该活动针对南亚,从印度和阿富汗提交的早期样本以及使用本地化诱饵文件表明采取了量身定制的方法。 Harvester 组织至少自 2021 年以来一直活跃,使用自定义恶意软件和公共工具,包括 Graphon,这是一个类似于 GoGra 的后门,依赖于 Microsoft 基础设施进行命令和控制。
GoGra 后门通过使用硬编码的 Azure AD 凭据来获取 OAuth2 令牌,从而滥用 Microsoft 云服务。它通过 Microsoft Graph API 轮询特定的 Outlook 邮箱文件夹,查找带有命令的电子邮件。这些在系统上解密并执行,而结果被加密并发回。
之后,恶意软件会删除这些消息以消除痕迹并保持隐匿性。
皮尔路易吉·帕格尼尼