Группа кибершпионажа Harvester работает как минимум с июня 2021 года. Тогда их впервые зафиксировали в ходе атак на телекоммуникационные компании, государственные структуры и IT-организации в Южной Азии. Symantec впервые публично задокументировал деятельность группы в конце 2021 года, описав их фирменный инструмент — имплант Graphon, который тоже использовал легитимную облачную инфраструктуру Microsoft для скрытого управления заражёнными машинами. С тех пор группа не исчезала, а методично расширяла арсенал.
В августе 2024 года атака Harvester попала в поле зрения исследователей снова: на этот раз под удар попала медиаорганизация в Южной Азии. Именно тогда был обнаружен бэкдор GoGra для Windows — до этого момента неизвестный инструмент, написанный на Go. Но свежая находка оказалась ещё интереснее: аналитики Symantec и команды Carbon Black Threat Hunter Team зафиксировали Linux-версию того же GoGra. Артефакты были обнаружены на платформе VirusTotal, а их происхождение указывало на Индию и Афганистан.
Механизм заражения строится на социальной инженерии. Жертве подбрасывают ELF-бинарник, замаскированный под PDF-документ. Когда пользователь открывает файл, на экране появляется вполне правдоподобный документ-приманка. В это время бэкдор тихо запускается в фоне и начинает свою работу. Схема не новая, но она срабатывает именно потому, что человек видит ожидаемое содержимое и не подозревает об угрозе.
Самая нетривиальная часть — это то, как GoGra выстраивает канал управления. Вместо того чтобы подключаться к собственному серверу (который можно заблокировать или отследить), бэкдор использует инфраструктуру Microsoft: Graph API и обычные почтовые ящики Outlook. Общение с оператором идёт через протокол OData-запросов. Сетевые средства защиты видят обычный трафик к серверам Microsoft и не поднимают тревогу.
Конкретика этой схемы заслуживает отдельного внимания. Бэкдор каждые две секунды обращается к определённому почтовому ящику Outlook и проверяет папку с названием «Zomato Pizza». Именно там операторы оставляют команды. GoGra ищет письма, тема которых начинается со слова «Input», расшифровывает тело письма из Base64, а затем выполняет содержимое как shell-команды через /bin/bash. Результаты работы команд упаковываются и отправляются обратно оператору письмом с темой «Output». После этого исходное письмо с заданием удаляется — следов не остаётся.
Выбор названия папки «Zomato Pizza» выглядит как намеренная маскировка под обычную переписку, хотя скорее это просто рабочая метка, которую операторы выбрали по собственному усмотрению. Так или иначе, вся схема рассчитана на то, что даже при перехвате трафика аналитик увидит обращения к легитимным серверам Microsoft, а не к подозрительной инфраструктуре.
Что касается атрибуции — исследователи Symantec и Carbon Black нашли в коде Windows- и Linux-версий GoGra одинаковые жёстко прописанные опечатки. Логика управления через C2-канал в обоих вариантах идентична. Опечатки в коде — это то, что сложно подделать и сложно случайно воспроизвести дважды независимо, поэтому именно они стали главным доказательством того, что оба инструмента создал один разработчик.
Сам факт появления Linux-версии GoGra говорит о направлении, в котором движется группа. Серверная инфраструктура в Южной Азии — государственные системы, телекоммуникации, медиа — работает преимущественно на Linux. Ограничиваясь только Windows-инструментами, Harvester упускал целый пласт потенциальных целей. Теперь этот пробел закрыт. Расширение под Linux — не техническая прихоть, а логичный шаг для группы, которая работает против конкретного региона с конкретной инфраструктурой.
Использование Microsoft Graph API и Outlook как транспортного слоя для C2-трафика давно стало трендом среди APT-групп именно потому, что это работает. Организации редко блокируют трафик к Microsoft, а инструменты мониторинга часто не анализируют содержимое таких соединений. Harvester применял похожий подход ещё с Graphon в 2021 году, и смена инструментария не изменила базовой концепции — только сделала её более гибкой за счёт поддержки Linux и нового кода на Go.
Изображение носит иллюстративный характер
В августе 2024 года атака Harvester попала в поле зрения исследователей снова: на этот раз под удар попала медиаорганизация в Южной Азии. Именно тогда был обнаружен бэкдор GoGra для Windows — до этого момента неизвестный инструмент, написанный на Go. Но свежая находка оказалась ещё интереснее: аналитики Symantec и команды Carbon Black Threat Hunter Team зафиксировали Linux-версию того же GoGra. Артефакты были обнаружены на платформе VirusTotal, а их происхождение указывало на Индию и Афганистан.
Механизм заражения строится на социальной инженерии. Жертве подбрасывают ELF-бинарник, замаскированный под PDF-документ. Когда пользователь открывает файл, на экране появляется вполне правдоподобный документ-приманка. В это время бэкдор тихо запускается в фоне и начинает свою работу. Схема не новая, но она срабатывает именно потому, что человек видит ожидаемое содержимое и не подозревает об угрозе.
Самая нетривиальная часть — это то, как GoGra выстраивает канал управления. Вместо того чтобы подключаться к собственному серверу (который можно заблокировать или отследить), бэкдор использует инфраструктуру Microsoft: Graph API и обычные почтовые ящики Outlook. Общение с оператором идёт через протокол OData-запросов. Сетевые средства защиты видят обычный трафик к серверам Microsoft и не поднимают тревогу.
Конкретика этой схемы заслуживает отдельного внимания. Бэкдор каждые две секунды обращается к определённому почтовому ящику Outlook и проверяет папку с названием «Zomato Pizza». Именно там операторы оставляют команды. GoGra ищет письма, тема которых начинается со слова «Input», расшифровывает тело письма из Base64, а затем выполняет содержимое как shell-команды через /bin/bash. Результаты работы команд упаковываются и отправляются обратно оператору письмом с темой «Output». После этого исходное письмо с заданием удаляется — следов не остаётся.
Выбор названия папки «Zomato Pizza» выглядит как намеренная маскировка под обычную переписку, хотя скорее это просто рабочая метка, которую операторы выбрали по собственному усмотрению. Так или иначе, вся схема рассчитана на то, что даже при перехвате трафика аналитик увидит обращения к легитимным серверам Microsoft, а не к подозрительной инфраструктуре.
Что касается атрибуции — исследователи Symantec и Carbon Black нашли в коде Windows- и Linux-версий GoGra одинаковые жёстко прописанные опечатки. Логика управления через C2-канал в обоих вариантах идентична. Опечатки в коде — это то, что сложно подделать и сложно случайно воспроизвести дважды независимо, поэтому именно они стали главным доказательством того, что оба инструмента создал один разработчик.
Сам факт появления Linux-версии GoGra говорит о направлении, в котором движется группа. Серверная инфраструктура в Южной Азии — государственные системы, телекоммуникации, медиа — работает преимущественно на Linux. Ограничиваясь только Windows-инструментами, Harvester упускал целый пласт потенциальных целей. Теперь этот пробел закрыт. Расширение под Linux — не техническая прихоть, а логичный шаг для группы, которая работает против конкретного региона с конкретной инфраструктурой.
Использование Microsoft Graph API и Outlook как транспортного слоя для C2-трафика давно стало трендом среди APT-групп именно потому, что это работает. Организации редко блокируют трафик к Microsoft, а инструменты мониторинга часто не анализируют содержимое таких соединений. Harvester применял похожий подход ещё с Graphon в 2021 году, и смена инструментария не изменила базовой концепции — только сделала её более гибкой за счёт поддержки Linux и нового кода на Go.
