### GoGra Backdoor zielt auf Linux-Systeme Die Gruppe **Harvester**, die vermutlich staatlich unterstützt wird, entwickelt seit mindestens 2021 aktiv maßgeschneiderte bösartige Tools. Ihre neueste Kreation, eine Linux-Variante der GoGra-Backdoor, verfolgt einen neuartigen Ansatz, indem sie die **Microsoft Graph API** zur Abfrage von Postfachdaten nutzt, was sie außergewöhnlich schwer erkennbar macht. **Harvester** hat historisch gesehen Telekommunikations-, Regierungs- und IT-Organisationen in Südasien mit maßgeschneiderten Backdoors und Loadern ins Visier genommen. ### Missbrauch der Microsoft Graph API für verdeckte Operationen Forscher von **Symantec** haben Samples der Linux GoGra-Backdoor analysiert, die von **VirusTotal** bezogen wurden. Ihre Erkenntnisse deuten darauf hin, dass die Malware durch Täuschung der Opfer, ELF-Binärdateien auszuführen, die als PDF-Dateien getarnt sind, ersten Zugriff erlangt. Sobald die Linux-Version von GoGra im System ist, verwendet sie hartkodierte **Azure Active Directory (AD)**-Anmeldeinformationen, um sich bei Microsofts Cloud zu authentifizieren und OAuth2-Token zu erwerben. Dies ermöglicht die Interaktion mit Outlook-Postfächern über die Microsoft Graph API. ### Technischer Einblick Die erste Phase beinhaltet einen Go-basierten Malware-Dropper, der eine i386-Payload bereitstellt. Die Persistenz wird über 'systemd' und einen XDG-Autostart-Eintrag hergestellt, der sich als legitimer **Conky**-Systemmonitor für Linux und BSD ausgibt. Die Malware prüft alle zwei Sekunden einen Outlook-Postfachordner namens „Zomato Pizza“. Sie verwendet OData-Abfragen, um eingehende E-Mails mit Betreffzeilen zu identifizieren, die mit „Input“ beginnen. Der Inhalt dieser Nachrichten, der base64-codiert und AES-CBC-verschlüsselt ist, wird entschlüsselt und lokal ausgeführt. Die Ergebnisse dieser Ausführungen werden dann AES-verschlüsselt und über Antwort-E-Mails mit dem Betreff „Output“ an den Betreiber zurückgesendet. Um ihren Fußabdruck weiter zu reduzieren, sendet die Malware eine HTTP DELETE-Anfrage, um die ursprüngliche Befehls-E-Mail nach der Verarbeitung zu löschen. ### Codebasis-Ähnlichkeiten deuten auf Harvester hin **Symantec** stellt fest, dass die Linux-Variante von GoGra eine nahezu identische Codebasis mit der Windows-Version aufweist, einschließlich Tippfehlern in Strings und Funktionsnamen sowie desselben AES-Schlüssels. Dies deutet stark darauf hin, dass beide Malware-Varianten vom selben Entwickler stammen, was die Zuordnung zur **Harvester**-Bedrohungsgruppe weiter festigt. Das Aufkommen einer Linux GoGra-Variante signalisiert, dass **Harvester** sein Toolset erweitert und seinen Zielbereich erweitert, um eine breitere Palette von Systemen zu kompromittieren.