Une opération de cyberespionnage étend ses horizons et adapte son code pour attaquer les systèmes Linux : le groupe connu sous le nom de Harvester - lié depuis 2021 à des campagnes visant des organisations en Asie du Sud - a été observé en déployant une nouvelle variante de la porte arrière Gogra écrite en Go, explicitement conçue pour les machines ELF. Les chercheurs de l'industrie ont souligné que cette version réutilise une astuce particulièrement difficile à détecter: abuser de l'infrastructure cloud de Microsoft et utiliser les boîtes aux lettres Outlook comme une commande secrète et canal de contrôle (C2).
La tactique n'est pas nouvelle pour l'acteur. En 2021, une précédente mise en œuvre appelée Graphon a été identifiée qui utilisait déjà l'API Microsoft Graphh pour échanger des commandes et des informations sur les exfiltres, ciblant des secteurs tels que les télécommunications, les administrations publiques et la technologie dans la région. Ce qui est frappant maintenant est l'extension de cette technique à Linux avec un outil écrit en Go, qui étend la surface d'attaque au-delà des systèmes Windows traditionnels. Pour comprendre l'ampleur de l'approche, il faut se rappeler que l'API Microsoft Graphh est documentée et légitime - sa conception facilite l'accès aux boîtes aux lettres et aux dossiers - et c'est pourquoi les attaquants l'utilisent pour camoufler leur trafic entre les communications normales: Microsoft Graphh (documentation).
Les détails techniques rapportés décrivent une méthode de livraison qui mélange l'ingénierie sociale et le camouflage : le binaire ELF atteint l'utilisateur avec l'apparence de document PDF. Une fois exécuté, il montre une page de leurre pour distraire la victime pendant que, dans le fond, la porte arrière est commencée. Ensuite, le malware consulte en permanence un dossier de boîte aux lettres Outlook spécifique - délibérément mundane nommé "Zomato Pizza" - en faisant des requêtes OData pour vérifier les nouvelles instructions. Les requêtes OData pour Microsoft Graphh et le traitement des dossiers sont expliqués dans la documentation officielle: OData requêtes et paramètres dans Microsoft Graphh.
Le mécanisme de contrôle est étonnamment simple et efficace. L'implant examine les messages dont la matière commence par le mot « Input ». Si vous en trouvez un, prenez votre corps encodé dans Base64, défigurez-le et lancez-le en utilisant / bin / bash. Les résultats de l'exécution sont encapsulés et renvoyés à l'opérateur par courrier avec une question commençant par "Outlook". Après avoir terminé la tâche d'exfiltration, l'implant efface le message de tâche original pour rendre l'enquête médico-légale difficile. Cette technique profite de la légitimité du service de courrier pour éviter les détections basées sur le trafic réseau suspect.
Les découvreurs de cas indiquent également des coïncidences dans les artefacts encodés et les erreurs typographiques de la même manière entre la version Windows et la nouvelle version Linux, suggérant que la même équipe ou développeur a déplacé et adapté sa logique C2 entre les plateformes. Cette caractéristique de «signature» de l'auteur, ainsi que les accusations détectées qui ont été téléchargées sur des plateformes publiques en provenance de l'Inde et de l'Afghanistan, indiquent que les campagnes actuelles seraient ciblées dans ces pays, bien que la géolocalisation d'échantillons dans des services tels que VirusTotal ne corresponde pas toujours à l'emplacement des victimes ou de l'opérateur: VirusTotal.
L'enquête et la diffusion de cette constatation ont impliqué des équipes spécialisées dans les combattants de la menace, et les premières analyses ont été partagées avec des moyens spécialisés pour accélérer la sensibilisation du public. Des rapports d'acteurs de l'industrie tels que Symantec et des équipes d'intervention et de recherche de menaces ont été cités par la presse de sécurité; la diffusion de ces observations vise à aider les défenseurs et les administrateurs à identifier les schémas inhabituels d'accès aux boîtes aux lettres et à ajuster les contrôles en nuage. Voir les notes publiques sur les tendances et les mises en garde dans les blogs de l'industrie. Blogs d'entreprise Symantec et l'analyse des équipements de sécurité tels que VMware / Carbon Black sur leurs canaux officiels.
Pourquoi cette approche est-elle dangereuse? Parce qu'il transforme les services légitimes en canaux de communication de l'agresseur. En utilisant la propre infrastructure cloud du fournisseur de courrier, le trafic se mélange avec des communications normales, ce qui réduit la probabilité que les systèmes défensifs traditionnels basés sur la détection d'anomalies du périmètre le qualifient de malveillant. En outre, lorsqu'ils fonctionnent à partir d'une boîte de messagerie, de nombreux signaux d'alarme conventionnels - connexions à des serveurs inconnus, domaines malveillants ou trafic chiffré vers une infrastructure de commande - sont atténués ou disparaissent.
Pour les organisations touchées ou à risque, les mesures défensives ne sont pas banales mais claires : renforcer les contrôles d'accès aux API et aux permis, surveiller les modes d'activité dans les boîtes aux lettres (par exemple, accès très fréquent programmé ou suppression massive de messages), renforcer l'inspection des pièces jointes et éduquer le personnel contre la tromperie qui conduit à l'exécution binaire déguisée en documents. L'intégration des solutions de détection et de réponse dans les paramètres et les environnements nuageux, ainsi que l'analyse du comportement du courrier, permet d'augmenter les signaux d'alarme antérieurs.
Cette évolution de l'arsenal Harvester met en évidence une leçon récurrente en matière de cybersécurité : les attaquants n'ont pas besoin de leur propre infrastructure s'ils peuvent réutiliser des services fiables et légitimes pour leurs communications. La portabilité de la porte arrière vers Linux et sa mise en œuvre dans Go montrent également que les développeurs de menaces cherchent à couvrir différents types de périphériques et serveurs, les forçant à défendre avec une vision multi-plateforme.
Si vous voulez approfondir le fonctionnement de Microsoft Graphh ou examiner les bonnes pratiques pour protéger les API et les boîtes aux lettres, la documentation de Microsoft et l'analyse communautaire sont un bon point de départ: Microsoft Graphh. Pour vérifier les échantillons suspects et leur dossier public, VirusTotal maintient des dépôts de fichiers et de métadonnées qui peuvent être utiles aux chercheurs. Et pour suivre la couverture médiatique et technique de cet incident particulier, consulter des ressources spécialisées telles que Les nouvelles Hacker et les publications des équipes de menaces dans les blogs officiels de l'industrie.
Essentiellement, nous sommes confrontés à une campagne qui confirme la tendance des attaquants à adapter les outils déjà testés à de nouveaux environnements, et à exploiter les services légitimes pour persister et communiquer. La recommandation est claire : prioriser la visibilité du nuage et des paramètres, examiner les autorisations d'API et prendre des mesures proactives d'hygiène numérique avant qu'une intrusion secrète ne devienne un incident majeur.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...