Los piratas informáticos utilizan buzones de correo de Outlook para ocultar las comunicaciones de backdoor de GoGra de Linux

Un grupo de hackers vinculado a un estado-nación ha encontrado una manera inteligente de ocultar su actividad maliciosa dentro de los buzones de correo de Microsoft Outlook, haciendo que sus ataques sean mucho más difíciles de detectar con las herramientas de seguridad estándar. El grupo Harvester APT, que se cree que es un actor de amenazas respaldado por un estado nacional activo desde al menos 2021, ha desarrollado una nueva versión para Linux de su backdoor GoGra.

Este malware actualizado aprovecha la API legítima de Microsoft Graph y los buzones de correo reales de Outlook como canal encubierto de comando y control (C2). Al comunicarse a través de una infraestructura confiable en la nube de Microsoft, la backdoor puede eludir las defensas tradicionales de la red perimetral que no están diseñadas para marcar el tráfico de correo electrónico legítimo como sospechoso. Los analistas de Symantec y Carbon Black identificaron este nuevo malware para Linux como una expansión de una campaña de espionaje de Windows previamente conocida por parte de Harvester. Para sobrevivir a los reinicios, el malware configura una unidad de usuario systemd y una entrada de inicio automático XDG que se disfraza como el monitor legítimo del sistema Linux "Conky".

Estas credenciales permiten que el malware solicite tokens OAuth2 directamente de Microsoft y comience a comunicarse a través de una carpeta de buzón de Outlook real llamada "Zomato Pizza", solicitando nuevas instrucciones cada dos segundos. La publicación Los piratas informáticos utilizan buzones de correo de Outlook para ocultar las comunicaciones de backdoor de GoGra de Linux apareció por primera vez en Noticias de seguridad cibernética.

Consultar publicación original ↗