Nouveau malware GoGra pour Linux utilise l’API Microsoft Graph pour les communications

Nouveau malware GoGra pour Linux utilise l'API Microsoft Graph pour les communications

La variante Linux du GoGra backdoor exploite des infrastructures Microsoft légitimes, utilisant notamment une boîte de réception Outlook pour la livraison discrète de ses charges utiles.

Développé par le groupe d’espionnage Harvester, présumé soutenu par un État, ce malware est réputé pour sa capacité à se dissimuler grâce à son utilisation de l’API Microsoft Graph pour accéder aux données de boîte aux lettres.

Actif depuis au moins 2021, Harvester utilise des outils malveillants sur mesure, tels que des backdoors et des loaders, pour cibler principalement des organisations de télécommunications, gouvernementales et IT en Asie du Sud.

Des chercheurs de Symantec ont analysé des échantillons du nouveau backdoor GoGra pour Linux, récupérés sur VirusTotal, et ont découvert que l’accès initial se faisait en trompant les victimes pour qu’elles exécutent des fichiers ELF déguisés en PDF.

Exploitation de l’API Microsoft Graph

Dans un rapport publié aujourd’hui, les chercheurs de Symantec indiquent que la version Linux du GoGra utilise des identifiants Azure Active Directory (AD) codés en dur pour s’authentifier sur le cloud de Microsoft et obtenir des tokens OAuth2. Cela lui permet d’interagir avec les boîtes aux lettres Outlook via l’API Microsoft Graph.

Au stade initial de l’attaque, un dropper de malware basé sur Go déploie une charge utile i386, établissant une persistance via systemd et une entrée de démarrage XDG se faisant passer pour le légitime moniteur système Conky pour Linux et BSD.

Selon les chercheurs, le malware vérifie toutes les deux secondes un dossier de boîte aux lettres Outlook nommé “Zomato Pizza”. Il utilise des requêtes OData pour identifier les emails entrants dont les lignes de sujet commencent par “Input”.

Le malware déchiffre le contenu de ces messages, codé en base64 et chiffré avec AES-CBC, et exécute les commandes résultantes localement.

Les résultats d’exécution sont ensuite chiffrés avec AES et retournés à l’opérateur via des emails de réponse avec le sujet “Output”.

Pour réduire sa visibilité lors d’analyses judiciaires, le malware envoie une requête HTTP DELETE pour supprimer l’email de commande original après traitement.

Symantec souligne que la variante Linux de GoGra partage un codebase presque identique à celle de la version Windows, incluant les mêmes fautes dans les chaînes et les noms de fonction, ainsi que la même clé AES.

Cela indique fortement que les deux malwares ont été créés par le même développeur, pointant vers le groupe de menaces Harvester.

Symantec considère l’apparition d’une variante Linux de GoGra comme une indication que Harvester élargit son éventail d’outils et ses cibles pour atteindre un plus large éventail de systèmes.