Die **Harvester** APT, bekannt für ihre Angriffe auf Organisationen in Südasien, setzt nun eine Linux-Version ihrer **GoGra**-Backdoor ein. Laut einem Bericht des **Symantec** und **Carbon Black** Threat Hunter Teams nutzt die Malware die legitime **Microsoft** Graph API und Outlook-Postfächer als verdeckten Command-and-Control (C2)-Kanal. Dies ermöglicht es ihr, herkömmliche Perimeter-Netzwerksicherungen zu umgehen. Das Cybersicherheitsunternehmen entdeckte Artefakte, die von Indien und Afghanistan auf **VirusTotal** hochgeladen wurden, was darauf hindeutet, dass diese Länder die Hauptziele dieser Spionagekampagne sind. ### Harvesters Geschichte **Harvester** wurde erstmals Ende 2021 von **Symantec** dokumentiert. Die Gruppe wurde seit Juni 2021 mit einer Informationsdiebstahlkampagne in Verbindung gebracht, die auf den Telekommunikations-, Regierungs- und IT-Sektor in Südasien abzielte. Die Gruppe verwendete ein benutzerdefiniertes Implantat namens Graphon, das ebenfalls die **Microsoft** Graph API für C2 nutzte. Im August 2024 wurde die Gruppe mit einem Angriff auf eine Medienorganisation in Südasien in Verbindung gebracht. Dieser Angriff beinhaltete eine bisher unbekannte Go-basierte Backdoor namens **GoGra**. Die neuesten Erkenntnisse zeigen, dass **Harvester** sein Arsenal über Windows hinaus erweitert und nun Linux-Maschinen mit einer neuen Variante derselben Backdoor ins Visier nimmt. ### Technische Details des Angriffs Die Angriffe nutzen Social Engineering, um Opfer dazu zu verleiten, ELF-Binaries zu öffnen, die als PDF-Dokumente getarnt sind. Der Dropper zeigt ein Lockvogel-Dokument an, während er die Backdoor im Hintergrund installiert. Ähnlich wie die Windows-Version missbraucht die Linux-Version von **GoGra** die Cloud-Infrastruktur von **Microsoft**. Sie kontaktiert alle zwei Sekunden einen bestimmten Ordner in einem Outlook-Postfach namens "Zomato Pizza" mithilfe von Open Data Protocol (OData)-Abfragen. Die Backdoor scannt den Posteingang nach eingehenden E-Mails mit einer Betreffzeile, die mit "Input" beginnt. Wenn eine passende E-Mail gefunden wird, entschlüsselt die Backdoor den Base64-codierten Nachrichtentext und führt ihn als Shell-Befehle über `/bin/bash` aus. Die Ausführungsergebnisse werden in einer E-Mail mit der Betreffzeile "Output" an den Betreiber zurückgesendet. Nach der Exfiltration löscht das Implantat die ursprüngliche Aufgaben-Nachricht, um seine Aktivitäten zu verschleiern. ### Ähnlichkeiten über Plattformen hinweg **Symantec** und **Carbon Black** stellten fest, dass trotz Unterschieden in den Bereitstellungsarchitekturen und Betriebssystemen die zugrunde liegende C2-Logik konsistent bleibt. Sie fanden auch identische, hartcodierte Rechtschreibfehler auf beiden Plattformen, was darauf hindeutet, dass derselbe Entwickler für beide Tools verantwortlich ist. Diese neue Linux-Backdoor signalisiert die fortlaufenden Bemühungen von **Harvester**, sein Toolset zu erweitern und aktiv neue Fähigkeiten zu entwickeln. Dies ermöglicht es ihnen, eine breitere Palette von Opfern und Maschinen ins Visier zu nehmen.