Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Групата Harvester користи Linux верзија на GoGra backdoor во Јужна Азија преку Microsoft Graph API

Објавено: 23.04.2026

Заканувачкиот актер познат како Harvester е поврзан со нова Linux верзија на својот GoGra backdoor, користена во напади кои најверојатно таргетираат организации во Јужна Азија.

„Малверот ја користи легитимната Microsoft Graph API и Outlook поштенските сандачиња како скриен канал за command-and-control (C2), што му овозможува да ги заобиколи традиционалните периметарски мрежни одбрани“, се наведува во извештај на Symantec и Carbon Black Threat Hunter Team, споделен со The Hacker News.

Компанијата за сајбер-безбедност открила артефакти поставени на платформата VirusTotal од Индија и Авганистан, што укажува дека овие две земји може да се цели на шпионската активност.

Harvester првпат беше јавно документиран од Symantec кон крајот на 2021 година, кога беше поврзан со кампања за кражба на информации насочена кон телекомуникацискиот, владин и ИТ сектор во Јужна Азија, користејќи сопствен имплант наречен Graphon кој исто така ја користел Microsoft Graph API за C2 комуникација.

Подоцнежна активност забележана во август 2024 ја поврза групата со напад врз неименувана медиумска организација во регионот, користејќи нов Go-базиран backdoor наречен GoGra. Најновите наоди покажуваат дека напаѓачот продолжува да го проширува својот арсенал, таргетирајќи и Linux системи со нова варијанта на истиот backdoor.

Нападите користат социјален инженеринг за да ги измамат жртвите да отворат ELF бинарни фајлови маскирани како PDF документи. Dropper-от прикажува лажен документ, додека во позадина тивко го извршува backdoor-от.

Како и Windows верзијата, Linux варијантата на GoGra ја злоупотребува cloud инфраструктурата на Microsoft, контактирајќи специфична Outlook папка наречена „Zomato Pizza“ на секои две секунди преку OData барања. Backdoor-от ја проверува дојдовната пошта за пораки со subject што започнува со „Input“.

Кога ќе се прими соодветна порака, ја декриптира Base64-кодираната содржина и ја извршува како shell команди преку „/bin/bash“. Резултатите потоа се испраќаат назад до операторот преку email со subject „Output“. По ексфилтрацијата, малверот ја брише оригиналната порака за да ги сокрие трагите.

„И покрај различните архитектури и оперативни системи, основната C2 логика останува иста“, наведуваат Symantec и Carbon Black, додавајќи дека се пронајдени идентични правописни грешки во кодот на двете верзии, што укажува на ист развивач.

„Употребата на нов Linux backdoor покажува дека Harvester продолжува активно да го развива својот toolkit со цел да таргетира поширок спектар на жртви и системи.“

Извори:

  • The Hacker News – Harvester Deploys Linux GoGra Backdoor in South Asia Using Microsoft Graph API The Hacker News