南アジアの組織を標的として知られる**Harvester** APTは、現在、**GoGra**バックドアのLinux版を利用しています。 **Symantec**および**Carbon Black**のThreat Hunter Teamの報告によると、このマルウェアは正規の**Microsoft** Graph APIとOutlookのメールボックスを、隠密なコマンド＆コントロール（C2）チャネルとして使用しています。これにより、標準的なペリメータネットワーク防御を回避することが可能になります。 同サイバーセキュリティ企業は、インドとアフガニスタンから**VirusTotal**にアップロードされたアーティファクトを発見しており、これらの国がこのスパイ活動キャンペーンの主な標的であることを示唆しています。 ### Harvesterの歴史 **Harvester**は、2021年末に**Symantec**によって初めて文書化されました。同グループは、2021年6月以降、南アジアの通信、政府、ITセクターを標的とした情報窃取キャンペーンに関与していました。このグループは、C2に**Microsoft** Graph APIを使用するカスタムインプラント「Graphon」を使用していました。 2024年8月、同グループは南アジアのメディア組織への攻撃に関連付けられました。この攻撃には、これまで確認されていなかったGo言語ベースのバックドア「**GoGra**」が含まれていました。最新の発見によると、**Harvester**はWindows以外の攻撃対象も拡大しており、同じバックドアの新しいバリアントでLinuxマシンを標的にしています。 ### 攻撃の技術的詳細 攻撃は、ソーシャルエンジニアリングを用いて、被害者を騙してPDFドキュメントを装ったELFバイナリを開かせます。ドロッパーは、バックドアをサイレントに展開しながら、デコイ（おとり）ドキュメントを表示します。 Windows版と同様に、Linux版の**GoGra**は**Microsoft**のクラウドインフラストラクチャを悪用します。Open Data Protocol（OData）クエリを使用して、2秒ごとに「Zomato Pizza」という名前の特定のOutlookメールボックスフォルダに連絡します。バックドアは、件名が「Input」で始まる受信メールメッセージをスキャンします。 一致するメールが見つかると、バックドアはBase64エンコードされたメッセージ本文を復号し、`/bin/bash`を使用してシェルコマンドとして実行します。実行結果は、「Output」という件名のメールでオペレーターに返送されます。情報漏洩後、インプラントは元のタスクメッセージを削除して、その活動を隠蔽します。 ### プラットフォーム間の類似性 **Symantec**と**Carbon Black**は、デプロイメントアーキテクチャとオペレーティングシステムの違いにもかかわらず、基盤となるC2ロジックは一貫していると指摘しています。また、両方のプラットフォームに同一のハードコードされたスペルミスが見つかっており、同じ開発者が両方のツールを担当していることを示唆しています。 この新しいLinuxバックドアは、**Harvester**がツールセットを拡大し、新しい機能を積極的に開発し続けていることを示しています。これにより、より幅広い標的とマシンを攻撃することが可能になります。