Linux惡意軟體GoGra濫用Microsoft Graph API隱匿活動蹤跡

賽門鐵克與Carbon Black威脅獵捕團隊發現，APT駭客組織Harvester近期開發了Linux後門程式GoGra，此惡意軟體具備高度迴避偵測的能力，利用微軟Graph API與電子郵件信箱服務Outlook建立C2通訊，疑似打算在印度與阿富汗從事網路間諜活動。由於此駭客組織的活動最早可溯到2021年，當時使用後門程式Graphon攻擊Windows電腦，GoGra的出現，代表Harvester採取跨平臺攻擊的策略。

針對攻擊活動發生的過程，Harvester利用社交工程手法，向使用者傳遞誘餌文件檔案，取得進入受害組織網路環境的初始存取管道。他們將惡意ELF檔偽裝成文件檔案，方法是加入像是. pdf的副檔名，刻意加入一個空格的目的，就是為了讓惡意檔案以Linux二進位檔執行。本身是惡意程式載入工具的誘餌文件，大多呈現為PDF檔，但部分偽裝成開放文件格式（ODT）檔案。最終於受害主機植入約5.9 MB的i386執行檔。

GoGra最顯著的特性就是濫用微軟的雲端基礎設施，內含特定的Azure AD應用程式憑證，包括租戶ID、用戶端ID及帳密資料，使得該後門能向微軟請求OAuth2憑證。

此後門程式的C2通訊機制利用開放資料協定（OData）查詢，每2秒檢查電子郵件信箱的資料夾Zomato Pizza，一旦出現主旨為input開頭的信件，GoGra就會使用AES-CBC加密演算法解開經Base64處理的訊息，然後於主機執行來自C2的有效酬載。