MalwareHackerangriffeCloud-Sicherheit

Harvester-Gruppe setzt Linux-Backdoor GoGra über Microsoft Graph API ein

Harvester-Gruppe setzt Linux-Backdoor GoGra über Microsoft Graph API ein
Zusammenfassung

Die Hackergruppe Harvester hat eine neue Linux-Variante ihres GoGra-Backdoors entwickelt und setzt diese in gezielten Angriffen gegen Ziele in Südasien ein. Das Besondere an dieser Kampagne: Die Malware nutzt die legitime Microsoft Graph API und Outlook-Postfächer als versteckte Kommunikationskanäle für ihre Befehle, um dadurch traditionelle Netzwerk-Perimetersicherung zu umgehen. Laut Symantec und dem Carbon Black Threat Hunter Team deuten Artefakte hin, dass Indien und Afghanistan im Fokus der Spionageaktivitäten stehen. Harvester ist bereits seit 2021 bekannt und zielt auf Telekommunikations-, Regierungs- und IT-Unternehmen ab. Die neue Linux-Variante zeigt, dass die Gruppe kontinuierlich ihre Arsenal erweitert und über das Windows-Ökosystem hinaus agiert. Deutsche Unternehmen und Behörden mit südasiatischen Geschäftsbeziehungen oder Partnern sollten diese Bedrohung ernst nehmen, da Cyberkriminelle häufig Infrastruktur und Taktiken zwischen verschiedenen geografischen Regionen adaptieren. Besondere Vorsicht ist bei verdächtigen PDF-Dateien und unerwarteten E-Mail-Anhängen geboten, da diese als Infektionsvektoren dienen.

Die Hackergruppe Harvester baut ihr Arsenal kontinuierlich aus und zeigt damit neue Ambitionen: Nach bisherigen Angriffen auf Windows-Systeme hat die Gruppe nun eine Linux-Variante ihrer GoGra-Backdoor entwickelt. Diese wird gezielt gegen Ziele in Südasien eingesetzt, wie Sicherheitsforschern gelang nachzuweisen.

Das Besondere an dieser Malware ist ihr innovativer Ansatz zur Kommunikation mit den Angreifern. Statt direkter Verbindungen nutzt GoGra die legitime Microsoft Graph API und Outlook-Postfächer als verschleierter Command-and-Control-Kanal. Dies ermöglicht es der Malware, traditionelle Netzwerk-Schutzmaßnahmen zu umgehen, die auf verdächtige Außenverbindungen achten. Ein Sicherheitsartefakt enthält sogar einen kryptischen Outlook-Ordnernamen: “Zomato Pizza”.

Die Angriffsmethode offenbart handwerkliches Geschick: Die Cyberkriminellen nutzen Social Engineering, um Opfer dazu zu bringen, ELF-Binärdateien zu öffnen, die als PDF-Dokumente getarnt sind. Der Dropper zeigt dann ein täuschend echtes Dokument an, während er im Hintergrund die Malware installiert. Die Linux-Variante kontaktiert alle zwei Sekunden einen spezifischen Outlook-Ordner und sucht nach E-Mails mit dem Betreffzeile “Input”. Gefundene Nachrichten werden entschlüsselt und als Shell-Befehle ausgeführt. Die Ergebnisse werden in einer Antwort-E-Mail mit dem Betreff “Output” zurückgesendet.

Historisch betrachtet ist Harvester seit 2021 aktiv. Symantec dokumentierte die Gruppe zunächst als Betreiber einer Informations-Spionierkampagne mit dem Backdoor “Graphon”, ebenfalls mit Microsoft Graph API. Im August 2024 wurde GoGra erstmals beobachtet – damals während eines Angriffs auf eine Medienorganisation in Südasien.

Die Sicherheitsforscher erkannten bemerkenswerte Parallelen zwischen Windows- und Linux-Version: identische Rechtschreibfehler im Code deuten darauf hin, dass dieselbe Entwicklergruppe hinter beiden Tools steckt. Dies unterstreicht die Professionalität und Ressourcenausstattung von Harvester.

Das Vorgehen zeigt eine klare Eskalationsstrategie: Die Gruppe expandiert ihr Toolkit über verschiedene Betriebssysteme und zielt auf ein breiteres Spektrum von Opfern. Besonders beunruhigend ist die Nutzung legitimer Cloud-Infrastruktur als Tarnung – ein Trend, der Sicherheitsteams vor erhebliche Herausforderungen stellt, da normale geschäftliche E-Mail-Nutzung und Malware-Kommunikation schwer zu unterscheiden sind.

Ähnliche Artikel