Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Linux-Malware GoGra Linux-Hintertür

GoGra Linux-Hintertür

Von Mezo in Linux-Malware, Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Der als Harvester bekannte Bedrohungsakteur wurde mit einer neu identifizierten Linux-Variante seiner GoGra-Backdoor in Verbindung gebracht, was auf eine fortgesetzte Ausweitung seiner Cyber-Spionageoperationen hindeutet. Es wird angenommen, dass diese Angriffe primär auf Organisationen in Südasien abzielen, wobei forensische Beweise auf Aktivitäten aus Indien und Afghanistan hindeuten. Dies lässt auf eine gezielte Informationsbeschaffungskampagne schließen, die auf Organisationen in diesen Regionen abzielt.

Heimlichkeit durch vertrauenswürdige Kanäle: Missbrauch der Cloud-Infrastruktur

Ein charakteristisches Merkmal dieser Kampagne ist der Missbrauch legitimer Cloud-Dienste für verdeckte Kommunikation. Die Schadsoftware nutzt die Microsoft Graph API zusammen mit Outlook-Postfächern als verborgenen Command-and-Control-Kanal (C2). Indem sie schädliche Kommunikation in vertrauenswürdige Plattformen einbettet, umgehen die Angreifer effektiv herkömmliche Perimeter-Sicherheitsmaßnahmen und erschweren so die Erkennung erheblich.

Von Graphon zu GoGra: Die Evolution eines Bedrohungsakteurs

Harvester geriet Ende 2021 erstmals in den Fokus der Öffentlichkeit, als die Gruppe mit einer Informationsdiebstahlkampagne in Verbindung gebracht wurde, die auf die Telekommunikations-, Regierungs- und IT-Branche in Südasien abzielte. In dieser Phase setzte die Gruppe ein eigens entwickeltes Implantat namens Graphon ein, das auch die Microsoft Graph API für die C2-Kommunikation nutzte.

Im August 2024 wurde die Gruppe mit einer Operation gegen ein Medienunternehmen in der Region in Verbindung gebracht. Im Zuge dieser Operation wurde GoGra eingeführt, eine bis dahin unbekannte, auf Go basierende Backdoor. Jüngste Erkenntnisse bestätigen, dass Harvester diese Fähigkeit über Windows-Umgebungen hinaus erweitert hat und nun eine Linux-spezifische Variante derselben Malware-Familie einsetzt.

Täuschender Zugang: Social Engineering und Ausführungstaktiken

Die Erstinfektion erfolgt hauptsächlich durch Social-Engineering-Techniken. Opfer werden dazu verleitet, als PDF-Dokumente getarnte ELF-Dateien zu öffnen. Nach der Ausführung zeigt der Angreifer ein Köderdokument an, um den Anschein von Legitimität zu wahren, während er im Hintergrund unbemerkt die Hintertür aktiviert.

Arbeitsablauf im Kommando- und Kontrollsystem: Präzision und Beharrlichkeit

Die Linux-Variante von GoGra spiegelt ihr Windows-Pendant hinsichtlich Kommunikationslogik und Arbeitsablauf wider. Sie interagiert mit einem festgelegten Outlook-Postfachordner mit der Bezeichnung „Zomato Pizza“ und fragt diesen alle zwei Sekunden über OData-Abfragen ab. Die Malware überwacht eingehende Nachrichten und verarbeitet nur diejenigen, die bestimmte Kriterien erfüllen.

  • E-Mails mit Betreffzeilen, die mit „Input“ beginnen, werden als Aufgabenanweisungen gekennzeichnet.
  • Der Nachrichtentext wird Base64-dekodiert und als Shell-Befehle über /bin/bash ausgeführt.
  • Die Ausführungsergebnisse werden über E-Mail-Antworten mit dem Betreff „Output“ übermittelt.
  • Die ursprünglichen Auftrags-E-Mails werden nach der Ausführung gelöscht, um forensische Spuren zu beseitigen.

Einheitliche Entwicklungsmuster über alle Plattformen hinweg

Trotz Unterschieden in Betriebssystemen und Bereitstellungsmethoden bleibt die zugrundeliegende C2-Architektur in den Windows- und Linux-Versionen identisch. Forscher haben zudem in beiden Varianten identische, fest codierte Rechtschreibfehler festgestellt, was stark auf einen gemeinsamen Entwickler oder ein gemeinsames Entwicklungsteam hindeutet.

Strategische Implikationen: Erweiterung der Angriffsfläche

Die Einführung einer Linux-basierten Hintertür unterstreicht Harvesters kontinuierliche Bemühungen, seine Fähigkeiten zu diversifizieren und die operative Flexibilität zu erhöhen. Durch das Angreifen auf mehrere Betriebssysteme und die Nutzung vertrauenswürdiger Cloud-Dienste positioniert sich die Gruppe, um ein breiteres Spektrum an Umgebungen zu kompromittieren und dabei ein geringes Entdeckungsrisiko zu wahren.

Diese Entwicklung unterstreicht die zunehmende Raffinesse moderner Bedrohungsakteure und die Notwendigkeit adaptiver, verhaltensbasierter Cybersicherheitsabwehr.

Im Trend

Am häufigsten gesehen

Wird geladen...