黑客滥用Outlook邮箱隐藏Linux后门,南亚成重点攻击目标

攻击手法分析
一个疑似国家背景的黑客组织开发出利用微软Outlook邮箱隐藏恶意活动的新技术,使常规安全工具难以检测其攻击行为。自2021年起活跃的Harvester APT组织(被认定具有国家背景)近期升级了其GoGra后门程序,推出Linux版本。该恶意软件通过合法的Microsoft Graph API和真实Outlook邮箱建立隐蔽命令控制(C2)通道,借助受信任的微软云基础设施绕过传统边界防御——这些防御机制通常不会将正常邮件流量标记为可疑。攻击目标与特征
此次攻击活动以间谍目的为主,非经济利益驱动。VirusTotal平台最早收到的恶意样本提交记录显示,受害目标主要位于印度和阿富汗,表明南亚地区仍是该组织的重点攻击区域。攻击者还使用了包含当地文化元素名称的诱饵文档,体现出高度定制化的定向攻击策略。历史数据显示,Harvester长期专注于南亚地区的间谍活动,此次攻击延续了该模式。技术演进与感染链
赛门铁克与Carbon Black分析师确认,这款Linux恶意软件是Harvester已知Windows间谍活动的扩展版本。研究人员发现新旧版本存在显著代码相似性,证实该组织正在积极发展跨平台攻击能力。攻击者通过社交工程手段诱导受害者打开伪装成PDF文档(如"TheExternalAffairesMinister.pdf")的Linux ELF二进制文件,触发后台静默感染流程,并建立持久化机制确保系统重启后仍能运行。微软基础设施滥用机制
该后门最具技术突破性的特征在于将合法微软云服务转化为隐蔽通信渠道。感染初期,Go加载器会释放约5.9MB的i386可执行文件至"~/.config/systemd/user/userservice"路径。为实现持久化,恶意软件伪装成合法的Conky系统监视工具,创建systemd用户单元和XDG自启动项。核心载荷包含明文存储的Azure AD应用凭证(租户ID、客户端ID和客户端密钥),使其能直接向微软请求OAuth2令牌,并通过名为"Zomato Pizza"的Outlook邮箱文件夹建立通信(每2秒轮询指令)。防御建议
攻击者发送的指令邮件主题以"Input"开头,恶意程序会解密经过AES-CBC加密的base64编码邮件正文,通过/bin/bash执行命令后,将结果加密并通过主题为"Output"的回复邮件传回。完成通信后,后门会发送HTTP DELETE请求清除原始指令邮件,几乎不留痕迹。建议Linux系统用户重点检查以下异常迹象:- 自启动项和systemd用户单元中的可疑服务(特别是仿冒Conky的工具)
- 非常规终端的OAuth2令牌请求和Microsoft Graph API活动
- 非标准进程在"~/.config/systemd/user/"路径的写入操作 企业应封锁未经批准的Azure AD应用凭证以降低此类滥用风险。
参考来源:
Hackers Use Outlook Mailboxes to Hide Linux GoGra Backdoor Communications
https://cybersecuritynews.com/hackers-use-outlook-mailboxes/
电报讨论