Se cree que el atacante, conocido como Harvester, se originó a partir de una nueva versión de Linux de la puerta trasera GoGra, posiblemente introducida como parte de un ataque dirigido a organizaciones en el sur de Asia.
«Este malware utiliza la API legítima de Microsoft Graph y los buzones de correo de Outlook como canales encubiertos de comando y control (C2), lo que le permite evadir las defensas tradicionales de la red perimetral», dijeron Symantec y el equipo Carbon Black Threat Hunter en un informe compartido con The Hacker News.
Una empresa de ciberseguridad dijo que había identificado artefactos cargados en Virus Total Platform desde India y Afganistán, lo que sugiere que ambos países pueden ser objetivos de operaciones de espionaje.
Symantec documentó públicamente por primera vez Harvester a finales de 2021 y se asoció con campañas de robo de información dirigidas a los sectores de telecomunicaciones, gobierno y TI en el sur de Asia desde junio de 2021 utilizando un implante personalizado llamado Graphon que utiliza la API Microsoft Graph para C2.
La actividad posterior reportada en agosto de 2024 vio al grupo de piratas informáticos participar en ataques dirigidos a organizaciones de medios anónimos en el sur de Asia utilizando una puerta trasera sin precedentes basada en Go llamada GoGra. Los últimos hallazgos sugieren que los atacantes continúan expandiendo su conjunto de herramientas más allá de Windows, infectando máquinas Linux con nuevas variantes de la misma puerta trasera.
Este ataque utiliza ingeniería social para engañar a las víctimas para que abran un binario ELF disfrazado de documento PDF. Luego, el cuentagotas comienza a mostrar documentos señuelo mientras abre en secreto la puerta trasera.
Al igual que la versión de Windows, la versión de Linux de GoGra explota la infraestructura de la nube de Microsoft y utiliza consultas del Protocolo de datos abierto (OData) para acceder a una carpeta específica del buzón de Outlook llamada «Zomato Pizza» cada dos segundos. La puerta trasera escanea su bandeja de entrada en busca de mensajes de correo electrónico entrantes cuya línea de asunto comience con la palabra «Entrada».
Cuando recibe un correo electrónico que coincide con los criterios, descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como un comando de shell usando «/bin/bash». Los resultados de la ejecución se devuelven al operador en un mensaje de correo electrónico con el asunto «Salida». Una vez que se completa el paso de extracción, el implante borra el mensaje de tarea original y oculta sus huellas.
«A pesar de utilizar diferentes arquitecturas de implementación y sistemas operativos, la lógica subyacente de C2 permanece sin cambios», dijeron Symantec y Carbon Black, y agregaron que los equipos «también identificaron varios errores ortográficos coincidentes que estaban codificados en ambas plataformas, lo que indica que los mismos desarrolladores están detrás de ambas herramientas».
«El uso de la nueva puerta trasera de Linux muestra que Harvester continúa ampliando su conjunto de herramientas y está desarrollando activamente nuevas herramientas para atacar a una gama más amplia de víctimas y máquinas».
Source link
