Die neue GoGra-Variante demonstriert eine ausgefeilte Evasionsstrategie, die es ermöglicht, unter dem Radar klassischer Sicherheitssysteme zu operieren. Indem die Malware die legitime Microsoft Graph API und authentische Azure Active Directory-Anmeldedaten verwendet, kann sie ihre Kommandos über Outlook-Postfächer abwickeln – eine Taktik, die Erkennungssysteme nur schwer identifizieren können.
Der Infektionsverlauf beginnt mit Social Engineering: Opfer werden dazu verleitet, ELF-Binärdateien auszuführen, die als PDF-Dateien getarnt sind. Eine Go-basierte Malware-Dropper lädt dann eine i386-Payload herunter, die über ‘systemd’ und einen XDG-Autostart-Eintrag Persistenz erlangt. Besonders raffiniert ist die Verschleierung: Die Malware gibt sich als legitimer Conky-Systemmonitor aus.
Die Kommunikation funktioniert nach einem simplen, aber effektiven Schema: Die Malware überwacht alle zwei Sekunden einen Outlook-Ordner namens “Zomato Pizza” auf eingehende E-Mails mit dem Betrefffeld “Input”. Die enthaltenen, mit AES-CBC verschlüsselten und Base64-kodierten Befehle werden dekodiert, lokal ausgeführt und die Ergebnisse verschlüsselt per E-Mail mit dem Betreff “Output” zurück an die Angreifer gesendet. Um keine forensischen Spuren zu hinterlassen, löscht die Malware die Original-Befehls-E-Mail anschließend mittels HTTP DELETE-Request.
Symantec konstatiert, dass die Linux-Variante nahezu identischen Code mit der Windows-Version von GoGra teilt – inklusive derselben Tippfehler in Strings und Funktionsnamen sowie denselben AES-Schlüsseln. Das deutet stark darauf hin, dass dieselbe Entwicklergruppe beide Varianten erschaffen hat.
Die Entdeckung dieser Linux-Variante ist ein klares Signal: Harvester verfügt über erhebliche Ressourcen, hat Zugriff auf legitime Cloud-Infrastruktur und entwickelt aktiv sein Toolkit weiter. Für Organisationen in Deutschland bedeutet das erhöhte Wachsamkeit – besonders in sensiblen Sektoren wie Energie, Telekommunikation und öffentliche Verwaltung, wo Linux-Systeme häufig betrieben werden.