Underc0de - La Casa de los Informáticos

Una nueva y sofisticada variante del malware GoGra ha encendido las alarmas en la comunidad de ciberseguridad. Investigadores de Symantec han identificado una versión para Linux de esta puerta trasera que destaca por su capacidad de evasión, utilizando infraestructura legítima de Microsoft, específicamente cuentas de Microsoft Outlook y la API de Microsoft Graph para ejecutar ataques encubiertos.

Este enfoque representa una evolución significativa en las amenazas persistentes avanzadas (APT), ya que combina técnicas tradicionales de malware con el abuso de servicios cloud confiables, dificultando su detección y mitigación.

¿Quién está detrás de GoGra? El grupo Harvester

El malware GoGra ha sido atribuido al grupo de ciberespionaje conocido como Harvester, un actor de amenazas vinculado presuntamente a un estado-nación. Este grupo ha estado activo al menos desde 2021, enfocando sus operaciones en sectores críticos como:

• Telecomunicaciones
• Gobiernos
• Tecnologías de la información (TI)

Principalmente en regiones del sur de Asia, Harvester se caracteriza por el uso de herramientas personalizadas, incluyendo cargadores maliciosos y puertas traseras diseñadas específicamente para operaciones de espionaje.

Vector de infección: ingeniería social con archivos PDF falsos

El acceso inicial en las campañas de GoGra para Linux se logra mediante técnicas de ingeniería social. Los atacantes engañan a las víctimas para que ejecuten archivos ELF maliciosos disfrazados como documentos PDF legítimos.

Una vez ejecutado, el binario inicia una cadena de infección altamente estructurada:

• Despliegue de un dropper basado en Go
• Instalación de una carga útil i386
• Establecimiento de persistencia en el sistema

El malware utiliza mecanismos nativos de Linux como:

• systemd para ejecución automática
• Entradas XDG para persistencia en el entorno gráfico

Además, se camufla como el monitor de sistema Conky, una herramienta legítima ampliamente utilizada en sistemas Linux y BSD, lo que refuerza su capacidad de pasar desapercibido.

Abuso de Microsoft Graph: la clave del sigilo

Uno de los aspectos más innovadores de esta variante es su uso de la API de Microsoft Graph como canal de comando y control (C2).

¿Cómo funciona el ataque?

El malware contiene credenciales codificadas de Azure Active Directory (actualmente conocido como Microsoft Entra ID), que le permiten autenticarse contra la nube de Microsoft y obtener tokens OAuth2.

Una vez autenticado, GoGra realiza las siguientes acciones:

• Accede a buzones de Microsoft Outlook
• Monitorea una carpeta específica llamada "Zomato Pizza"
• Realiza consultas mediante OData cada 2 segundos

El malware busca correos electrónicos con asuntos que comiencen con "Input", los cuales contienen comandos cifrados enviados por los atacantes.

Ejecución de comandos y exfiltración de datos

El flujo operativo del malware es altamente sofisticado:

Recepción de comandos:
Los correos entrantes contienen datos codificados en base64 y cifrados con AES-CBC.

Descifrado y ejecución:
El malware descifra el contenido y ejecuta los comandos directamente en el sistema comprometido.

Respuesta al atacante:
Los resultados se cifran nuevamente y se envían como correos de respuesta con el asunto "Output".

Eliminación de evidencias:
Para evitar análisis forense, el malware envía solicitudes HTTP DELETE para borrar los correos procesados.

Este mecanismo convierte a Outlook en un canal C2 encubierto, aprovechando la confianza en servicios legítimos para evadir sistemas de detección.

Similitudes con la versión de Windows

Según Symantec, la variante de Linux comparte una base de código casi idéntica con su contraparte en Windows. Entre las coincidencias se incluyen:

• Errores tipográficos idénticos en el código
• Nombres de funciones similares
• Uso de la misma clave AES

Estas similitudes apuntan claramente a un único desarrollador o equipo detrás de ambas versiones, reforzando la atribución al grupo Harvester.

Implicaciones para la ciberseguridad empresarial

La aparición de GoGra para Linux marca un cambio estratégico en las operaciones de Harvester, ampliando su alcance a entornos que tradicionalmente han sido considerados más seguros.

Riesgos clave:

• Uso de infraestructura legítima para evadir detección
• Dificultad para identificar tráfico malicioso en servicios cloud
• Persistencia avanzada en sistemas Linux
• Capacidad de espionaje silencioso y continuo

Este tipo de amenazas demuestra que los atacantes están adoptando enfoques cada vez más sofisticados, explotando la confianza en plataformas ampliamente utilizadas como Microsoft Outlook y Microsoft Graph.

Recomendaciones de seguridad

Para mitigar el riesgo de infecciones como GoGra, las organizaciones deben:

• Implementar monitoreo avanzado de actividad en Microsoft Graph
• Auditar accesos y tokens OAuth en Microsoft Entra ID
• Bloquear ejecución de binarios sospechosos en Linux
• Capacitar a usuarios contra ataques de ingeniería social
• Aplicar soluciones EDR con visibilidad en entornos Linux

En fin...

La nueva variante Linux de GoGra representa una amenaza avanzada que combina técnicas de malware tradicionales con el abuso inteligente de servicios cloud legítimos. El uso de Microsoft Outlook como canal de comando y control, junto con la integración de Microsoft Graph, redefine el panorama de amenazas actuales.

A medida que actores como Harvester continúan evolucionando, las organizaciones deben fortalecer sus estrategias de defensa, adoptando un enfoque proactivo basado en visibilidad, detección temprana y resiliencia frente a amenazas persistentes avanzadas.

Fuente: https://www.bleepingcomputer.com/