【安全资讯】Linux版GoGra后门利用微软Graph API进行隐蔽通信

概要：

网络安全威胁持续演进，高级持续性威胁（APT）组织正采用愈发隐蔽的技术手段。近日，赛门铁克研究人员发现了一个针对Linux系统的新型后门恶意软件GoGra，其独特之处在于利用合法的微软云基础设施——Microsoft Graph API和Outlook邮箱进行命令与控制通信，极大地增强了其隐蔽性和规避检测的能力。

主要内容：

该Linux版GoGra后门由被认为具有国家背景的间谍组织Harvester开发。攻击者通过诱骗受害者执行伪装成PDF文件的ELF二进制文件来获得初始访问权限。恶意软件随后会部署一个基于Go语言的释放器，安装一个i386架构的有效载荷，并通过systemd和伪装成Conky系统监视器的XDG自启动条目建立持久化。

其核心技术在于滥用微软云服务。恶意软件使用硬编码的Azure Active Directory凭证进行身份验证，获取OAuth2令牌，从而通过Microsoft Graph API与Outlook邮箱交互。它会每两秒检查一次名为“Zomato Pizza”的邮箱文件夹，使用OData查询寻找主题行以“Input”开头的邮件。

邮件内容经过Base64编码和AES-CBC加密，恶意软件解密后执行其中的命令，并将执行结果加密后通过主题为“Output”的回复邮件发送给攻击者。为减少取证痕迹，它会在处理完命令邮件后，发送HTTP DELETE请求将其删除。分析表明，此Linux变种与Windows版GoGra共享几乎相同的代码库，包括字符串中的拼写错误和相同的AES密钥，证实了其同源性。此举表明Harvester组织正在扩展其工具集和攻击范围，以渗透更广泛的系统目标。