### GoGraバックドア、Linuxシステムを標的に 国家支援を受けているとされる「Harvester」グループは、少なくとも2021年以降、カスタムの悪意のあるツールを積極的に開発してきました。彼らの最新の作成物であるLinux版GoGraバックドアは、Microsoft Graph APIを利用してメールボックスデータにアクセスするという斬新なアプローチを採用しており、極めて検知が困難です。 「Harvester」は historically、南アジアの通信、政府、IT組織を標的に、カスタムバックドアやローダーを使用してきました。 ### 秘密裏の活動のためのMicrosoft Graph APIの悪用 **Symantec**の研究者たちは、**VirusTotal**から入手したLinux版GoGraバックドアのサンプルを分析しました。その結果、このマルウェアは、PDFファイルに偽装されたELFバイナリを実行させることで初期アクセスを得ていることが示唆されています。 システムに侵入した後、Linux版GoGraはハードコードされた**Azure Active Directory (AD)** の認証情報を使用してMicrosoftのクラウドに認証し、OAuth2トークンを取得します。これにより、Microsoft Graph APIを介してOutlookメールボックスとやり取りすることが可能になります。 ### 技術的な詳細 初期段階では、Go言語で書かれたマルウェアドロッパーがi386ペイロードを展開します。永続化は「systemd」とXDGオートスタートエントリによって確立され、LinuxおよびBSD向けの正規の**Conky**システムモニターを装います。 マルウェアは、「Zomato Pizza」という名前のOutlookメールボックスフォルダを2秒ごとにチェックします。ODataクエリを使用して、件名が「Input」で始まる受信メールを特定します。 これらのメッセージの内容は、base64エンコードされ、AES-CBCで暗号化されており、復号化されてローカルで実行されます。これらの実行結果はAESで暗号化され、「Output」という件名の返信メールでオペレーターに送信されます。 フットプリントをさらに削減するため、マルウェアは処理後に元のコマンドメールを削除するためにHTTP DELETEリクエストを発行します。 ### コードベースの類似性からHarvesterの関与が示唆される **Symantec**は、Linux版GoGraがWindows版とほぼ同一のコードベースを共有していることを指摘しています。これには、文字列や関数名におけるタイポ、そして同じAESキーが含まれます。これは、両方のマルウェアバリアントが同じ開発者によって作成されたことを強く示唆しており、「Harvester」脅威グループへの帰属をさらに確固たるものにしています。 Linux版GoGraバリアントの出現は、「Harvester」がツールセットを拡大し、より広範なシステムを侵害するために標的範囲を広げていることを示しています。