🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça conhecido como Harvester foi atribuído a uma nova versão Linux de seu backdoor GoGra, implantada como parte de ataques que provavelmente visam entidades no sul da Ásia.
“O malware usa a API legítima do Microsoft Graph e as caixas de correio do Outlook como um canal secreto de comando e controle (C2), permitindo-lhe contornar as defesas tradicionais da rede de perímetro”, disse a equipe Symantec e Carbon Black Threat Hunter em um relatório compartilhado com The Hacker News.
A empresa de segurança cibernética disse ter identificado artefatos carregados na plataforma VirusTotal vindos da Índia e do Afeganistão, sugerindo que os dois países podem ser alvo da atividade de espionagem.
O Harvester foi documentado publicamente pela primeira vez pela Symantec no final de 2021, vinculando-o a uma campanha de roubo de informações destinada aos setores de telecomunicações, governo e tecnologia da informação no sul da Ásia desde junho de 2021, usando um implante personalizado chamado Graphon que usava a API Microsoft Graph para C2.
A atividade subsequente sinalizada em agosto de 2024 conectou o grupo de hackers a um ataque direcionado a uma organização de mídia não identificada no sul da Ásia com um backdoor baseado em Go nunca antes visto chamado GoGra. As últimas descobertas sugerem que o adversário continua a expandir seu conjunto de ferramentas para além do Windows e a infectar máquinas Linux com uma nova variante do mesmo backdoor.
Os ataques empregam engenharia social para induzir as vítimas a abrir binários ELF disfarçados de documentos PDF. O conta-gotas então exibe um documento de isca enquanto executa furtivamente o backdoor.
Assim como sua contraparte no Windows, a versão Linux do GoGra abusa da infraestrutura em nuvem da Microsoft para entrar em contato com uma pasta específica da caixa de correio do Outlook chamada “Zomato Pizza” a cada dois segundos usando consultas Open Data Protocol (OData). O backdoor verifica a caixa de entrada em busca de mensagens de e-mail recebidas com uma linha de assunto começando com a palavra “Entrada”.
Depois que um e-mail que atende aos critérios é recebido, ele descriptografa o corpo da mensagem codificado em Base64 e o executa como comandos shell usando "/bin/bash". Os resultados da execução são enviados de volta ao operador em uma mensagem de e-mail com o assunto "Saída". Após a conclusão da etapa de exfiltração, o implante apaga a mensagem original da tarefa para encobrir os rastros.
“Apesar de usar diferentes arquiteturas de implantação e sistemas operacionais, a lógica C2 subjacente permanece inalterada”, disseram Symantec e Carbon Black, acrescentando que as equipes “também identificaram vários erros ortográficos correspondentes e codificados em ambas as plataformas, o que aponta para o mesmo desenvolvedor estar por trás de ambas as ferramentas”.
“O uso de um novo backdoor do Linux mostra que o Harvester continua a expandir seu conjunto de ferramentas e a desenvolver ativamente novas ferramentas para perseguir uma gama mais ampla de vítimas e máquinas”.
“O malware usa a API legítima do Microsoft Graph e as caixas de correio do Outlook como um canal secreto de comando e controle (C2), permitindo-lhe contornar as defesas tradicionais da rede de perímetro”, disse a equipe Symantec e Carbon Black Threat Hunter em um relatório compartilhado com The Hacker News.
A empresa de segurança cibernética disse ter identificado artefatos carregados na plataforma VirusTotal vindos da Índia e do Afeganistão, sugerindo que os dois países podem ser alvo da atividade de espionagem.
O Harvester foi documentado publicamente pela primeira vez pela Symantec no final de 2021, vinculando-o a uma campanha de roubo de informações destinada aos setores de telecomunicações, governo e tecnologia da informação no sul da Ásia desde junho de 2021, usando um implante personalizado chamado Graphon que usava a API Microsoft Graph para C2.
A atividade subsequente sinalizada em agosto de 2024 conectou o grupo de hackers a um ataque direcionado a uma organização de mídia não identificada no sul da Ásia com um backdoor baseado em Go nunca antes visto chamado GoGra. As últimas descobertas sugerem que o adversário continua a expandir seu conjunto de ferramentas para além do Windows e a infectar máquinas Linux com uma nova variante do mesmo backdoor.
Os ataques empregam engenharia social para induzir as vítimas a abrir binários ELF disfarçados de documentos PDF. O conta-gotas então exibe um documento de isca enquanto executa furtivamente o backdoor.
Assim como sua contraparte no Windows, a versão Linux do GoGra abusa da infraestrutura em nuvem da Microsoft para entrar em contato com uma pasta específica da caixa de correio do Outlook chamada “Zomato Pizza” a cada dois segundos usando consultas Open Data Protocol (OData). O backdoor verifica a caixa de entrada em busca de mensagens de e-mail recebidas com uma linha de assunto começando com a palavra “Entrada”.
Depois que um e-mail que atende aos critérios é recebido, ele descriptografa o corpo da mensagem codificado em Base64 e o executa como comandos shell usando "/bin/bash". Os resultados da execução são enviados de volta ao operador em uma mensagem de e-mail com o assunto "Saída". Após a conclusão da etapa de exfiltração, o implante apaga a mensagem original da tarefa para encobrir os rastros.
“Apesar de usar diferentes arquiteturas de implantação e sistemas operacionais, a lógica C2 subjacente permanece inalterada”, disseram Symantec e Carbon Black, acrescentando que as equipes “também identificaram vários erros ortográficos correspondentes e codificados em ambas as plataformas, o que aponta para o mesmo desenvolvedor estar por trás de ambas as ferramentas”.
“O uso de um novo backdoor do Linux mostra que o Harvester continua a expandir seu conjunto de ferramentas e a desenvolver ativamente novas ferramentas para perseguir uma gama mais ampla de vítimas e máquinas”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #harvester #implanta #backdoor #linux #gogra #no #sul #da #ásia #usando #api #microsoft #graph
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário