Хакеры тоже ленятся: разработчики GoGra просто скопировали чужой код вместе с ошибками. К чему это привело?
NewsMakerРассказываем, как одна случайность помогла вскрыть многолетнюю сеть шпионажа.
Группировка Harvester снова напомнила о себе — на этот раз с инструментом, который почти не оставляет следов в привычных системах защиты. ИБ-специалисты заметили новую версию бэкдора GoGra для Linux, которая маскируется под обычный трафик и прячется за легитимными сервисами Microsoft.
Команда Symantec совместно с Carbon Black Threat Hunter связала находку с более ранней шпионской кампанией Harvester под Windows. Сходство кода оказалось настолько явным, что сомнений в общем происхождении не осталось. Группа, действующая как минимум с 2021 года и, предположительно, связанная с государственными структурами, последовательно расширяет набор инструментов и теперь уверенно работает сразу на нескольких платформах.
Атаки, судя по косвенным признакам, нацелены на Индию и Афганистан. Образцы вредоносных файлов впервые загрузили в VirusTotal именно из этих стран. Дополнительным сигналом стала локализация приманок — злоумышленники подбирают темы документов под регион. Среди них встречались файлы с названиями вроде «Zomato Pizza», отсылающие к популярному индийскому сервису доставки еды, а также «umrah.pdf», связанный с исламским паломничеством.
Начальный доступ строится на социальной инженерии. Злоумышленники рассылают файлы, которые выглядят как документы, но на деле запускают вредоносный код. Для маскировки используют простой приём — добавляют расширение «.pdf» с пробелом перед ним. В результате система видит исполняемый ELF-файл, а пользователь — якобы документ. После запуска дроппер на Go разворачивает основной модуль размером около 5,9 МБ и закрепляется в системе через systemd и автозапуск XDG, выдавая себя за системный монитор Conky.
Главная особенность новой версии — канал управления через Microsoft Graph API и почтовые ящики Outlook. Вредонос использует заранее прописанные учётные данные Azure AD для получения OAuth2-токенов и регулярно опрашивает папку в почте, например «Zomato Pizza».
Команды приходят в письмах с темой, начинающейся на «Input», затем расшифровываются и выполняются через bash. Результаты шифруются и отправляются обратно письмом с темой «Output», после чего исходное сообщение удаляется, чтобы скрыть следы.
Анализ показал, что Linux- и Windows-версии GoGra используют практически одинаковую логику. Совпадают даже орфографические ошибки в коде и названиях функций, что указывает на одного разработчика. При этом различаются лишь детали реализации — архитектура, интервалы связи с сервером и названия почтовых папок.
Появление Linux-варианта подтверждает, что Harvester наращивает возможности и стремится охватить как можно больше систем. Интерес к Южной Азии сохраняется, а методы становятся всё менее заметными для традиционных средств защиты.
Группировка Harvester снова напомнила о себе — на этот раз с инструментом, который почти не оставляет следов в привычных системах защиты. ИБ-специалисты заметили новую версию бэкдора GoGra для Linux, которая маскируется под обычный трафик и прячется за легитимными сервисами Microsoft.
Команда Symantec совместно с Carbon Black Threat Hunter связала находку с более ранней шпионской кампанией Harvester под Windows. Сходство кода оказалось настолько явным, что сомнений в общем происхождении не осталось. Группа, действующая как минимум с 2021 года и, предположительно, связанная с государственными структурами, последовательно расширяет набор инструментов и теперь уверенно работает сразу на нескольких платформах.
Атаки, судя по косвенным признакам, нацелены на Индию и Афганистан. Образцы вредоносных файлов впервые загрузили в VirusTotal именно из этих стран. Дополнительным сигналом стала локализация приманок — злоумышленники подбирают темы документов под регион. Среди них встречались файлы с названиями вроде «Zomato Pizza», отсылающие к популярному индийскому сервису доставки еды, а также «umrah.pdf», связанный с исламским паломничеством.
Начальный доступ строится на социальной инженерии. Злоумышленники рассылают файлы, которые выглядят как документы, но на деле запускают вредоносный код. Для маскировки используют простой приём — добавляют расширение «.pdf» с пробелом перед ним. В результате система видит исполняемый ELF-файл, а пользователь — якобы документ. После запуска дроппер на Go разворачивает основной модуль размером около 5,9 МБ и закрепляется в системе через systemd и автозапуск XDG, выдавая себя за системный монитор Conky.
Главная особенность новой версии — канал управления через Microsoft Graph API и почтовые ящики Outlook. Вредонос использует заранее прописанные учётные данные Azure AD для получения OAuth2-токенов и регулярно опрашивает папку в почте, например «Zomato Pizza».
Команды приходят в письмах с темой, начинающейся на «Input», затем расшифровываются и выполняются через bash. Результаты шифруются и отправляются обратно письмом с темой «Output», после чего исходное сообщение удаляется, чтобы скрыть следы.
Анализ показал, что Linux- и Windows-версии GoGra используют практически одинаковую логику. Совпадают даже орфографические ошибки в коде и названиях функций, что указывает на одного разработчика. При этом различаются лишь детали реализации — архитектура, интервалы связи с сервером и названия почтовых папок.
Появление Linux-варианта подтверждает, что Harvester наращивает возможности и стремится охватить как можно больше систем. Интерес к Южной Азии сохраняется, а методы становятся всё менее заметными для традиционных средств защиты.