Nova variante do backdoor GoGra usa caixas de correio do Outlook e consultas OData para receber tarefas, executar comandos em Linux e devolver resultados ao operador por e-mail.
| Componente | Backdoor GoGra em variante Linux, entregue como binário ELF disfarçado de documento PDF. |
| Vetor | Engenharia social induz a vítima a abrir um ELF que apresenta um documento-isca enquanto inicia o backdoor em segundo plano. |
| Impacto | Execução remota de comandos shell em hosts Linux comprometidos, com envio da saída ao operador por mensagens de e-mail no Outlook. |
| Prioridade | Investigar execução de ELF com disfarce de PDF, uso anômalo de Microsoft Graph API e acesso recorrente a pastas de caixa de correio usadas como canal de comando e controle. |
| Artefatos | A variante consulta uma pasta de Outlook chamada Zomato Pizza, procura assuntos iniciados por Input e responde com mensagens cujo assunto começa por Output. |
| Alvos | Artefatos enviados ao VirusTotal a partir da Índia e do Afeganistão sugerem atividade de espionagem direcionada a entidades no Sul da Ásia. |
O grupo Harvester foi associado a uma nova variante Linux do backdoor GoGra, uma ferramenta escrita em Go que preserva a lógica de comando e controle observada em atividade anterior contra ambientes Windows. A mudança principal está na plataforma atingida: em vez de limitar a operação a estáções Windows, a campanha passa a incluir máquinas Linux, ampliando o conjunto de ativos que podem receber tarefas do operador. A atividade é descrita como provável espionagem contra entidades no Sul da Ásia, com indícios derivados de artefatos submetidos ao VirusTotal a partir da Índia e do Afeganistão.
A cadeia técnica combina engenharia social, disfarce de arquivo e abuso de infraestrutura legítima em nuvem. O malware chega como binário ELF apresentado como se fosse um documento PDF. Quando a vítima abre o arquivo, o dropper exibe um documento-isca para reduzir suspeitas e, ao mesmo tempo, executa o backdoor de forma oculta. A comunicação posterior não depende de um domínio de comando e controle convencional: o GoGra usa a Microsoft Graph API e caixas de correio do Outlook como canal intermediário para receber instruções e devolver resultados, o que dificulta controles baseados apenas em bloqueio de perímetro ou listas de domínios suspeitos.
A atribuição a Harvester se apoia na continuidade operacional e em semelhanças de implementação. O grupo já havia sido documentado em campanhas iniciadas em 2021 contra setores de telecomunicações, governo e tecnologia da informação no Sul da Ásia, usando implantes personalizados que também recorriam à Microsoft Graph API para comando e controle. Em 2024, a atividade foi vinculada ao uso de GoGra contra uma organização de mídia na mesma região. A variante Linux indica evolução do ferramental, não uma mudança completa de método: o mecanismo de tarefas via e-mail, os nomes de assuntos e até erros de grafia embutidos permanecem alinhados entre plataformas.
A infecção começa com um artefato ELF que se passa por PDF. Esse detalhe é relevante para defesa porque o ponto de execução não é um leitor de documentos, mas um binário Linux executável. O documento-isca apresentado após a abertura funciona como cobertura visual, enquanto o componente malicioso inicia sua rotina de comunicação. A pré-condição real é a execução do arquivo pela vítima em um ambiente Linux onde o binário consiga iniciar processos e alcançar os serviços usados pela Microsoft Graph API. O material recebido não descreve exploração de vulnerabilidade, escalonamento de privilégio ou movimento lateral, portanto o impacto confirmado deve ser limitado à execução de comandos pelo backdoor no sistema onde ele roda.
Depois de ativo, o GoGra consulta uma caixa de correio do Outlook por meio da Microsoft Graph API. A variante Linux acessa uma pasta específica chamada Zomato Pizza em intervalos de dois segundos e usa consultas baseadas em Open Data Protocol, OData, para procurar novas mensagens. O critério de tarefa é o assunto do e-mail: mensagens iniciadas por Input são tratadas como instruções enviadas pelo operador. O corpo da mensagem é codificado em Base64 e cifrado; após o processamento, o conteúdo recuperado é executado como comando shell com /bin/bash. Essa rotina transforma uma caixa de correio legítima em fila de tarefas para o implante.
O retorno ao operador também ocorre por e-mail. Após executar a instrução, o backdoor envia a saída em uma nova mensagem cujo assunto começa por Output. Em seguida, remove a mensagem original de tarefa, reduzindo vestígios diretos na caixa de entrada usada como canal. A defesa deve tratar esse fluxo como abuso de serviço legítimo, não como tráfego malicioso óbvio. A comunicação com Microsoft Graph API pode se misturar ao tráfego esperado de produtividade, principalmente em organizações que usam Microsoft 365, mas o padrão de consulta frequente, a pasta incomum, os assuntos padronizados e a associação com processos não interativos em hosts Linux fornecem pontos concretos de investigação.
A superfície exposta inclui máquinas Linux capazes de executar binários ELF recebidos por usuários ou por fluxos de compartilhamento de arquivos. O disfarce como PDF desloca a atenção para controles de conteúdo e associação de tipos de arquivo: um anexo, download ou arquivo transferido que aparenta ser documento, mas possui formato executável, deve ser tratado como evento de alto risco. O uso de Go também tende a produzir binários autocontidos, o que pode reduzir dependências locais e facilitar execução em diferentes distribuições, embora o material disponível não detalhe versões de sistema operacional, arquiteturas ou permissões específicas necessárias.
Do lado de nuvem e identidade, a campanha depende de acesso a uma caixa de correio do Outlook controlada pelo operador ou por conta previamente preparada para receber e enviar tarefas. O abuso da Microsoft Graph API não implica falha no serviço; a técnica se aproveita de funcionalidades legítimas de leitura e envio de e-mail. Ambientes que permitem saída ampla para APIs de produtividade, sem correlação entre processo de origem, identidade usada e finalidade de negócio, ficam com menos visibilidade sobre esse tipo de canal. O risco principal não está em todo acesso ao Graph, mas em acessos realizados por binários inesperados, com cadência mecânica e direcionados a pastas e padrões de assunto sem função corporativa.
A atividade anterior ligada a Harvester envolveu setores de telecomunicações, governo, tecnologia da informação e uma organização de mídia no Sul da Ásia. Para a variante Linux, os artefatos associados à Índia e ao Afeganistão sugerem alvos regionais, mas não confirmam por si só uma lista fechada de vítimas. Organizações fora dessa geografia não devem assumir exposição direta sem telemetria compatível, porém a técnica é transferível para qualquer ambiente em que usuários executem binários Linux e em que o tráfego para serviços Microsoft seja permitido sem inspeção contextual.
- Hosts Linux com execução recente de binários ELF recebidos como supostos documentos PDF.
- Ambientes Microsoft 365 em que acessos à Microsoft Graph API não são correlacionados com processo, usuário e host de origem.
- Caixas de correio ou pastas com nomes incomuns usadas por contas sem finalidade operacional clara.
- Sistemas de usuários, servidores ou estáções técnicas onde
/bin/bashé invocado por processos recém-criados e sem histórico esperado.
A investigação em endpoint deve começar pela diferença entre aparência e tipo real do arquivo. Eventos de criação ou execução de ELF com nome, ícone, extensão dupla ou caminho compatível com documento devem ser examinados, principalmente quando a execução é seguida por abertura de arquivo-isca ou por conexões HTTPS para APIs da Microsoft. Em Linux, a relação entre processo pai, nome do binário, diretório de origem e chamadas subsequentes a /bin/bash é mais útil do que a simples presença de tráfego para domínios legítimos. O comportamento de executar comandos derivados de mensagens remotas e retornar saída por e-mail produz encadeamentos de processo e rede que fogem de uso normal de clientes de produtividade.
Na camada de identidade e nuvem, a telemetria de Microsoft Graph API pode revelar padrões incompatíveis com uso humano. Consultas a mensagens em intervalos próximos de dois segundos, leituras repetidas de uma pasta específica, busca por assuntos padronizados e envio de mensagens logo após execução local são sinais que merecem correlação. A pasta Zomato Pizza e os assuntos Input e Output são artefatos concretos desta atividade, mas a defesa não deve depender somente desses literais. Operadores podem alterar nomes de pastas ou assuntos mantendo a mesma arquitetura de comando e controle.
A análise de rede deve considerar que o canal usa infraestrutura legítima, portanto bloqueios amplos podem causar impacto operacional. A abordagem mais precisa é associar destino, identidade e origem do processo. Um binário desconhecido em Linux acessando endpoints da Microsoft Graph API de forma periódica, sem biblioteca corporativa conhecida ou agente aprovado, tem valor investigativo maior do que uma conexão isolada. Também é importante revisar logs de e-mail para mensagens criadas e excluídas rapidamente, especialmente quando o remetente, destinatário e pasta não fazem parte de fluxos normais de automação.
- Execução de ELF cujo nome ou distribuição sugere documento PDF, seguida por atividade de rede externa.
- Processos desconhecidos chamando
/bin/bashe produzindo saída redirecionada para rotinas de comunicação. - Acesso recorrente à Microsoft Graph API com intervalo curto e padrão mecânico de leitura de mensagens.
- Pastas de Outlook com nomes fora do padrão, incluindo
Zomato Pizza, associadas a assuntos iniciados porInputouOutput. - Mensagens de tarefa removidas logo após leitura, criando lacunas ou sequências de criação, processamento e exclusão em curto período.
A resposta deve priorizar contenção de hosts com execução confirmada ou suspeita do binário. Como o material disponível descreve execução de comandos e retorno de saída, a ação defensiva imediata é isolar o sistema, preservar artefatos de disco e memória quando possível, coletar histórico de processos, conexões, arquivos recentes e logs de autenticação. A remoção do binário sem preservação pode eliminar evidências necessárias para determinar a conta de nuvem usada, a caixa de correio acessada e o conjunto de comandos recebidos. Não há indicação clara de exploração de vulnerabilidade específica, portanto correção de software genérica não substitui investigação de execução e credenciais.
Na camada de Microsoft 365, administradores devem revisar permissões e uso de aplicativos que acessam Microsoft Graph API, procurar caixas de correio com comportamento anômalo e validar se contas usadas para automação possuem escopo mínimo. Logs de auditoria de e-mail, eventos de leitura, envio, exclusão e acesso por API devem ser correlacionados com horário de execução em endpoint. Caso uma conta esteja ligada ao canal de comando e controle, a rotação de credenciais e a revogação de sessões devem ocorrer junto com a revisão de permissões consentidas, porque o backdoor depende de acesso funcional ao serviço para continuar recebendo tarefas.
A prevenção envolve reduzir a chance de execução inicial e aumentar a visibilidade do abuso de nuvem legítima. Controles de anexos e downloads devem validar tipo real de arquivo, não apenas extensão. Políticas de execução em Linux podem restringir binários em diretórios de usuário, áreas temporárias e caminhos de download quando isso for compatível com o ambiente. Para organizações que usam Microsoft Graph API, é recomendável manter inventário de integrações autorizadas, registrar origem de chamadas e alertar quando processos não reconhecidos em servidores ou estáções Linux passam a consultar caixas de correio. A validação final deve confirmar ausência de novos acessos ao canal, inexistência de processos persistentes relacionados ao binário e normalização dos eventos de e-mail associados.
- Isolar hosts Linux suspeitos antes de remover artefatos, preservando binário, histórico de processos, conexões e logs locais.
- Correlacionar horários de execução do ELF com eventos de Microsoft Graph API, leitura de e-mail, envio de mensagens e exclusão de tarefas.
- Revisar contas e permissões usadas para acesso ao Outlook, revogar sessões suspeitas e rotacionar credenciais quando houver evidência de abuso.
- Bloquear ou alertar execução de binários em caminhos de download e diretórios temporários quando a política operacional permitir.
- Criar detecções comportamentais para binários desconhecidos acessando Graph API de forma periódica e invocando
/bin/bashpara execução de comandos.
0 Comentários