tin tức bảo mật mới liên quan đến lỗ hổng CVE và kỹ thuật tấn công ẩn trong hạ tầng cloud cho thấy một biến thể Linux của backdoor GoGra đang được triển khai qua Microsoft Outlook mailbox, sử dụng Microsoft Graph API làm kênh command-and-control (C2).
GoGra Linux: backdoor dùng Outlook mailbox làm C2
Nhóm Harvester APT, được ghi nhận hoạt động từ ít nhất năm 2021, đã phát triển một biến thể Linux mới của GoGra backdoor. Mẫu malware này tận dụng Microsoft Graph API và mailbox Outlook thật để trao đổi lệnh, thay vì dùng hạ tầng C2 truyền thống.
Cách triển khai này làm giảm khả năng bị phát hiện bởi các công cụ bảo mật mạng thông thường, vì lưu lượng email hợp lệ thường không bị đánh dấu là bất thường. Đây là một mối đe dọa mạng đáng chú ý đối với các hệ thống Linux có sử dụng dịch vụ Microsoft cloud.
Phạm vi nhắm mục tiêu và đặc điểm chiến dịch
Phân tích ban đầu cho thấy mẫu malware được nộp lên VirusTotal đến từ India và Afghanistan, cho thấy mục tiêu chính tập trung ở Nam Á. Các tài liệu mồi nhử mang tên và chủ đề quen thuộc trong khu vực, thể hiện chiến lược nhắm mục tiêu có chủ đích.
Chiến dịch này phù hợp với mô hình hoạt động gián điệp, không thiên về lợi ích tài chính. Nguồn tham chiếu kỹ thuật có thể xem thêm tại Symantec và Carbon Black: https://www.security.com/threat-intelligence/harvester-new-linux-backdoor.
Khai thác và chuỗi xâm nhập
Điểm xâm nhập ban đầu được thực hiện qua social engineering. Nạn nhân bị dụ mở các tệp có tên như “TheExternalAffairesMinister.pdf” và “Details Format.pdf”. Tuy nhiên, đây thực chất là file Linux ELF binary độc hại, không phải tài liệu PDF hợp lệ.
Sau khi người dùng mở file, quá trình lây nhiễm bắt đầu âm thầm ở nền, sau đó malware thiết lập cơ chế persistence để duy trì sau khi hệ thống khởi động lại.
Cơ chế persistence trên Linux
Payload bên trong là một executable i386 có kích thước khoảng 5.9 MB, được thả vào đường dẫn ~/.config/systemd/user/userservice. Để tồn tại qua reboot, malware tạo:
- systemd user unit
- XDG autostart entry
Cơ chế này còn ngụy trang thành công cụ hợp pháp Conky trên Linux để tránh bị chú ý khi rà soát hệ thống.
Microsoft Graph API và mailbox Outlook bị lạm dụng
Điểm kỹ thuật đáng chú ý nhất của lỗ hổng CVE theo hướng lạm dụng cấu hình ở đây là việc malware dùng cloud service hợp lệ làm kênh điều khiển. Payload chứa sẵn thông tin xác thực Azure AD ở dạng plain text, gồm:
- tenant ID
- client ID
- client secret
Nhờ đó, malware có thể yêu cầu OAuth2 token trực tiếp từ Microsoft và truy cập mailbox Outlook thật, trong đó có thư mục tên “Zomato Pizza”. Hệ thống sẽ kiểm tra thư mới mỗi 2 giây.
Đây là một cách triển khai cảnh báo CVE theo nghĩa thực tế vận hành: thay vì khai thác lỗi phần mềm, tác nhân đe dọa lợi dụng dịch vụ hợp lệ để che giấu hoạt động C2.
Luồng xử lý lệnh
Khi nhận lệnh từ email, malware tìm các thư có tiêu đề bắt đầu bằng “Input.”, sau đó:
- Giải mã nội dung AES-CBC
- Giải mã lớp base64 bọc bên ngoài
- Thực thi lệnh trên host bằng /bin/bash
Kết quả trả về được mã hóa lại bằng cùng khóa AES và gửi ngược qua email reply với subject “Output”. Sau khi gửi xong, implant xóa email lệnh gốc bằng HTTP DELETE, làm giảm dấu vết trao đổi.
/bin/bash
IOC và dấu hiệu cần theo dõi
Dưới đây là các IOC và dấu hiệu kỹ thuật liên quan đến chiến dịch:
- File mồi nhử: TheExternalAffairesMinister.pdf
- File mồi nhử: Details Format.pdf
- Đường dẫn persistence: ~/.config/systemd/user/userservice
- Autostart ngụy trang thành: Conky
- Mailbox/thư mục C2: Zomato Pizza
- Subject nhận lệnh: Input.
- Subject trả kết quả: Output
- Giao thức trao đổi: Microsoft Graph API
- Mã hóa: AES-CBC + base64
Phát hiện xâm nhập và biện pháp kiểm tra
Các đội phản ứng nên kiểm tra hệ thống bị xâm nhập bằng cách rà soát autostart entries và systemd user units có tên bất thường hoặc mô phỏng công cụ hợp pháp. Đặc biệt cần chú ý tới các file nằm trong ~/.config/systemd/user/ do tiến trình không chuẩn ghi ra.
Trên Linux, việc xuất hiện ELF binary có đuôi giả trong thư mục người dùng cũng là dấu hiệu quan trọng để phát hiện tấn công.
Dấu hiệu cần giám sát trên hạ tầng Microsoft cloud
Security team nên theo dõi:
- Yêu cầu OAuth2 token bất thường từ endpoint không thường dùng dịch vụ này
- Hoạt động Microsoft Graph API phát sinh từ máy trạm Linux
- Ứng dụng Azure AD credentials không được tổ chức xác thực
Việc chặn hoặc hạn chế các Azure AD application credentials không xác định có thể giảm rủi ro lạm dụng kiểu này.
Tham chiếu kỹ thuật liên quan
Thông tin nền về Microsoft Graph API và các điều kiện kiểm tra bảo mật có thể đối chiếu tại tài liệu NVD: https://nvd.nist.gov/.
Trong bối cảnh an toàn thông tin, phát hiện sớm các dấu hiệu persistence, truy cập mailbox bất thường và lạm dụng cloud API là trọng tâm để giảm nguy cơ từ mối đe dọa dạng này.
