Sebuah varian Linux dari backdoor GoGra dilaporkan menggunakan infrastruktur Microsoft yang sah dengan mengandalkan kotak masuk Outlook untuk pengiriman muatan secara sembunyi-sembunyi.
Malware ini dikembangkan oleh Harvester, sebuah kelompok spionase yang diyakini didukung oleh negara (state-sponsored). GoGra dianggap sangat evasif (sulit dideteksi) karena menyalahgunakan Microsoft Graph API untuk mengakses data kotak surat.
Kelompok Harvester sendiri telah aktif setidaknya sejak tahun 2021 dan dikenal sering menggunakan alat berbahaya kustom, seperti backdoor dan loader, dalam berbagai kampanye serangan yang menargetkan sektor telekomunikasi, pemerintahan, dan organisasi TI di Asia Selatan.
Peneliti dari Symantec yang menganalisis sampel backdoor Linux GoGra baru dari VirusTotal menemukan bahwa akses awal diperoleh dengan menipu korban agar mengeksekusi biner ELF yang menyamar sebagai fail PDF.
Menyalahgunakan Microsoft Graph API
Dalam laporannya hari ini, peneliti Symantec menjelaskan bahwa versi Linux dari backdoor GoGra menggunakan kredensial Azure Active Directory (AD) yang telah ditanamkan (hardcoded) untuk mengautentikasi ke cloud Microsoft dan mendapatkan token OAuth2. Akses ini memungkinkannya untuk berinteraksi dengan kotak surat Outlook melalui Microsoft Graph API.
Tahapan Serangan dan Eksekusi:
- Persistensi Awal: Pada tahap awal serangan, dropper malware berbasis Go menyebarkan muatan i386. Muatan ini membangun persistensi di dalam sistem melalui
systemddan entri autostart XDG yang menyamar sebagai monitor sistem Conky yang sah untuk Linux dan BSD. - Pemantauan Kotak Surat: Malware ini secara aktif memeriksa folder kotak surat Outlook yang diberi nama “Zomato Pizza” setiap dua detik. Ia menggunakan kueri OData untuk mengidentifikasi email masuk yang memiliki baris subjek yang dimulai dengan kata “Input”.
- Eksekusi Perintah: Malware kemudian mendekripsi konten pesan tersebut (yang disandikan dengan base64 dan dienkripsi menggunakan AES-CBC) lalu mengeksekusi perintah yang dihasilkan secara lokal di mesin korban.
- Eksfiltrasi Hasil: Hasil dari eksekusi perintah tersebut kemudian dienkripsi kembali menggunakan AES dan dikembalikan ke operator peretas melalui email balasan dengan subjek “Output”.
- Penghapusan Jejak: Untuk meminimalkan visibilitas forensik, malware mengeluarkan permintaan HTTP DELETE untuk menghapus email perintah asli segera setelah selesai memprosesnya.
Perluasan Target Harvester
Symantec menyoroti bahwa varian Linux GoGra ini berbagi basis kode yang hampir identik dengan versi Windows dari malware tersebut. Kesamaan ini bahkan mencakup kesalahan ketik (typo) yang sama persis dalam string dan nama fungsi, serta penggunaan kunci AES yang sama.
Hal ini memberikan indikasi kuat bahwa kedua varian malware tersebut dibuat oleh pengembang yang sama, yang mengarah langsung pada kelompok ancaman Harvester. Symantec melihat kemunculan varian Linux GoGra sebagai bukti bahwa Harvester kini sedang memperluas perangkat dan cakupan targetnya untuk menyusup ke berbagai sistem yang lebih luas.