Une nouvelle variante Linux de la porte dérobée GoGra a été identifiée par les chercheurs de Symantec. Sa particularité ? Elle s’appuie sur l’API Microsoft Graph pour récupérer des charges à exécuter depuis une boite de réception Outlook. Voici ce que l’on sait sur cette menace.

Harvester adapte son arsenal pour cibler Linux

Vous cherchiez un lien entre les machines sous Linux et l’infrastructure de Microsoft ? En voici un, il se nomme GoGra, un logiciel malveillant développé par le groupe Harvester. Actif depuis au moins 2021, ce groupe a l’habitude d’utiliser des malwares personnalisés (comme des loaders et des backdoors) lors de campagnes ciblant les secteurs des télécommunications, du gouvernement et de l’informatique, notamment en Asie du Sud.

En analysant des échantillons du malware GoGra récupérés depuis VirusTotal, les chercheurs en sécurité de Symantec ont fait une découverte. Ce malware adapté pour Linux (binaire ELF malveillant) communique avec l’infrastructure de Microsoft via l’API Graph pour recevoir des ordres de la part des cybercriminels.

“L’équipe Threat Hunter de Symantec et Carbon Black a établi un lien entre ce nouveau logiciel malveillant Linux et une campagne d’espionnage Windows déjà connue, menée par Harvester, en raison de similitudes au niveau du code, ce qui démontre que l’auteur de la menace étend activement ses capacités multiplateformes.”, précise le rapport de Symantec.

L’API Microsoft Graph détournée par les cybercriminels

D’après l’analyse de Symantec, le malware intègre des identifiants Microsoft Entra ID (Azure AD) codés en dur. Cela lui permet d’établir une connexion vers l’infrastructure légitime de Microsoft et d’obtenir des jetons OAuth2 qu’ils utilisent ensuite pour accéder à une boîte aux lettres Outlook par le biais de l’API Microsoft Graph.

Cette technique utilisée par le groupe Harvester permet d’échapper à la détection puisque les connexions sont établies vers les adresses associées à Microsoft. Ensuite, le mode opératoire est le suivant :

• Toutes les deux secondes, GoGra consulte un dossier de la boîte de réception Outlook nommé “Zomato Pizza”.
• Il recherche un éventuel e-mail dont l’objet commence par le mot “Input”.
• Si un e-mail correspondant est identifié, il récupère les instructions et les déchiffre en local, puisqu’elles sont encodées en base64 et chiffrées en AES-CBC.
• Les résultats chiffrés par le malware sont ensuite retournés vers Outlook au sein d’un message dont l’objet contient “Output”.
• L’e-mail “Input” utilisé comme donneur d’ordre est supprimé à la fin de l’opération afin d’éviter de laisser des traces.

Enfin, sachez que l’infection initiale des machines est effectuée par l’intermédiaire d’une campagne de phishing. Symantec évoque l’utilisation d’un binaire ELF malveillant distribué sous la forme d’un document PDF. Le rapport mentionne d’ailleurs le nom d’une archive ZIP associée à la distribution de ce malware : .