Ein Cyberespionage-Betrieb erweitert seine Horizonte und passt seinen Code an Linux-Systeme an: Die seit 2021 an Organisationen in Südasien gebundene Gruppe Harvester hat eine neue Variante der in Go geschriebenen Gogra Backdoor entwickelt, die speziell für ELF-Maschinen entwickelt wurde. Industrieforscher haben darauf hingewiesen, dass diese Version einen besonders schwierigen Trick wiederverwendet zu erkennen: Microsoft Cloud-Infrastruktur missbrauchen und Outlook-Postfächer als verdeckter Befehl und Steuerkanal (C2) verwenden.
Die Taktik ist dem Schauspieler nicht neu. Im Jahr 2021 wurde eine frühere Implementierung namens Graphon identifiziert, die bereits die Microsoft Graphh API verwendet, um Bestellungen und Exfilter-Informationen auszutauschen, auf Bereiche wie Telekommunikation, öffentliche Verwaltungen und Technologie in der Region. Auffällig ist nun die Erweiterung dieser Technik auf Linux mit einem in Go geschriebenen Werkzeug, das die Angriffsfläche über herkömmliche Windows-Systeme hinaus erweitert. Um die Größe des Ansatzes zu verstehen, sollte daran erinnert werden, dass die Microsoft Graphh API dokumentiert und legitim ist - sein Design erleichtert den Zugriff auf Postfächer und Ordner - und das ist, warum Angreifer es verwenden, um ihren Verkehr zwischen normalen Kommunikation zu tarnen: Microsoft Graphh (Dokumentation).
Die angegebenen technischen Details beschreiben eine Liefermethode, die Social Engineering und Camouflage mischt: Die ELF Binärdatei erreicht den Benutzer mit PDF-Dokument Aussehen. Bei der Ausführung zeigt es eine dekoy-Seite, um das Opfer ablenken, während im Hintergrund die Hintertür gestartet wird. Dann konsultiert die Malware kontinuierlich einen bestimmten Outlook-Mailbox-Ordner - bewusst mundane namens "Zomato Pizza" - durch OData-Anfragen, um nach neuen Anweisungen zu überprüfen. Die OData-Abfragen für Microsoft Graphh und Ordnerhandling werden in der offiziellen Dokumentation erläutert: OData-Abfragen und -Parameter in Microsoft Graphh.
Die Steuereinrichtung ist überraschend einfach und effektiv. Das Implantat überprüft die Nachrichten, deren Materie mit dem Wort "Eingabe" beginnt. Wenn Sie einen finden, nehmen Sie Ihren kodierten Körper in Base64, deaktivieren Sie es und führen Sie es mit / bin / bash. Die Ergebnisse der Ausführung werden gekapselt und per Post an den Bediener zurückgeschickt, beginnend mit "Outlook". Nach Beendigung der Exfiltrationsaufgabe löscht das Implantat die ursprüngliche Aufgabenachricht, um die forensische Untersuchung zu erschweren. Diese Technik nutzt die Legitimität des Postdienstes, um Erkennungen basierend auf verdächtigen Netzwerkverkehr zu umgehen.
Die Fallentdecker weisen auch auf Koinzidenz in codierten Artefakten und typografischen Fehlern auf die gleiche Weise zwischen der Windows-Version und der neuen Linux-Version hin, was darauf hindeutet, dass das gleiche Team oder Entwickler hat seine C2-Logik zwischen Plattformen verschoben und angepasst. Diese "signature" Funktion des Autors, zusammen mit festgestellten Gebühren, die auf öffentliche Plattformen aus Indien und Afghanistan hochgeladen wurden, weist darauf hin, dass aktuelle Kampagnen in diesen Ländern gezielt werden würden, obwohl Geolokation von Proben in Dienstleistungen wie VirusTotal nicht immer dem Standort der Opfer oder des Betreibers entspricht: VirusTotal.
Die Untersuchung und Verbreitung dieses Funds haben Teams mit Schwerpunkt auf Bedrohungskämpfer und erste Analysen wurden mit spezialisierten Mitteln zur Beschleunigung des öffentlichen Bewusstseins geteilt. Berichte von Industriedarstellern wie Symantec und Antwort- und Bedrohungsteams wurden von der Sicherheitspresse zitiert; die Verbreitung dieser Beobachtungen soll den Verteidigern und Verwaltern helfen, ungewöhnliche Muster des Zugangs zu Postfächern zu erkennen und Cloud-Kontrollen anzupassen. Sehen Sie öffentliche Notizen zu Trends und Warnungen in Industrie-Blogs hilft, diese Kampagnen zu kontextualisieren: Symantec Enterprise Blogs und Analyse von Sicherheitsausrüstungen wie VMware / Carbon Black auf ihren offiziellen Kanälen.
Warum ist dieser Ansatz gefährlich? Weil es legitime Dienste in die Kommunikationskanäle des Angreifers verwandelt. Durch die Verwendung der eigenen Cloud-Infrastruktur des Postanbieters, die Verkehrsvermischung mit normalen Kommunikationen, die die Wahrscheinlichkeit reduziert, dass traditionelle defensive Systeme auf Basis der Perimeter-Anomalie-Erkennung es als schädlich markiert. Darüber hinaus werden viele der herkömmlichen Alarmsignale - Verbindungen zu unbekannten Servern, schädlichen Domänen oder verschlüsselten Verkehr zur Befehlsinfrastruktur - beim Betrieb aus einer Mailbox gedämpft oder verschwinden.
Für die betroffenen oder gefährdeten Organisationen sind defensive Maßnahmen nicht trivial, sondern klar: die Zugangskontrollen zu APIs und Genehmigungen zu stärken, die Aktivitätsmuster in Mailboxen (z.B. sehr häufiger geplanter Zugriff oder Massenlöschung von Nachrichten) zu überwachen, die Inspektion von Anhängen zu verschärfen und Mitarbeiter gegen Betrug zu erziehen, die zu binären Ausführung als Dokumente verkleidet führen. Die Integration von Erkennungs- und Antwortlösungen in Endpunkte und Cloud-Umgebungen, zusammen mit der Mail-Verhaltensanalyse, hilft, frühere Alarmsignale zu erhöhen.
Diese Entwicklung des Harvester-Arsenals unterstreicht eine wiederkehrende Lektion in der Cybersicherheit: die Angreifer brauchen keine eigene Infrastruktur, wenn sie zuverlässige und legitime Dienste für ihre Kommunikation wiederverwenden können. Die Portabilität von Backdoor zu Linux und seine Implementierung in Go zeigen auch, dass Bedrohung Entwickler versuchen, verschiedene Arten von Geräten und Servern zu decken, zwingen sie mit einer multi-platform Vision zu verteidigen.
Wenn Sie vertiefen möchten, wie Microsoft Graphh funktioniert oder überprüfen gute Praktiken zum Schutz von APIs und Mailboxen, Microsoft-Dokumentation und Community-Analyse sind ein guter Ausgangspunkt: Microsoft Graph. Um verdächtige Proben und ihre öffentlichen Daten zu überprüfen, VirusTotal unterstützt Datei- und Metadaten-Repositories, die für Forscher nützlich sein können. Und um den Medien und der technischen Abdeckung dieses besonderen Vorfalls zu folgen, konsultieren Sie spezialisierte Ressourcen wie The Hacker News und die Veröffentlichungen der Bedrohungsteams in den offiziellen Blogs der Branche.
Im Wesentlichen stehen wir vor einer Kampagne, die die Tendenz der Angreifer bestätigt, bereits getestete Werkzeuge an neue Umgebungen anzupassen und legitime Dienste zu nutzen, um zu bestehen und zu kommunizieren. Die Empfehlung ist klar: Cloud priorisieren und Endpunkte Sichtbarkeit, API-Berechtigungen überprüfen und proaktive Maßnahmen der digitalen Hygiene ergreifen, bevor eine verdeckte Intrusion zu einem großen Vorfall wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...