大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。
一款全新Linux后门正在悄悄潜伏——它不建服务器、不连可疑IP,只用普通Outlook邮箱就能远程操控主机,穿透防火墙如入无人之境。
近日,安全厂商披露:Harvester APT组织推出跨平台恶意工具GoGra Linux版,通过滥用微软Graph API实现隐蔽C2指挥,攻击链高度伪装、痕迹极轻,已盯上印度、阿富汗等南亚地区。
一、比传统后门更隐蔽:用“邮箱”当控制通道
传统远控木马需要连接黑客服务器,很容易被防火墙、EDR拦截。
而GoGra Linux后门直接把微软官方邮箱当成“秘密信道”:
恶意程序每2秒轮询指定邮箱文件夹
黑客发一封标题带`Input`的邮件,即可下发指令
主机执行后,把结果加密回传`Output`邮件
完成后自动删除原邮件,不留痕迹
全程流量都是正常微软Graph API请求,白名单通行、极难告警。
二、攻击套路曝光:伪装成PDF,骗过系统与用户
攻击者通过社会工程学入侵第一步:
把恶意ELF文件伪装成`.pdf`(文件名后加空格绕过检测)
伪装成印度外卖Zomato、朝觐文档、外交文件等诱饵
运行后释放Go语言加载器,后台部署payload
植入路径:`~/.config/systemd/user/userservice`
伪装成Conky系统监控实现开机自启
文件看起来是文档,双击却直接“开门迎客”。
三、Windows与Linux双杀:同一团伙、同一套代码
安全团队对比后确认:
Linux版GoGra与Windows版Graphon高度同源:
相同AES密钥
相同拼写错误(`ExcuteCommand`/`DeleteingMessage`等)
相同C2逻辑、相同邮件控制机制
仅包名、轮询间隔、目标邮箱不同
说明该组织已实现一套逻辑、跨平台编译,攻击范围大幅扩大。
四、目标明确:持续针对南亚地区情报窃取
样本首次上报来自印度、阿富汗
诱饵文件高度本地化(印度外卖、宗教、外交主题)
该组织自2021年活跃,长期针对南亚实施间谍活动
被判定为国家级背景APT组织
五、普通人/企业如何防御?(最实用清单)
1. 不打开来历不明的PDF/ODT,尤其来自陌生邮件、聊天软件
2. 警惕文件名带空格的文档(如 `file .pdf`)
3. Linux主机监控`systemd`异常自启项,检查`~/.config/autostart`
4. 企业限制Microsoft Graph API过度权限,监控异常轮询邮箱行为
5. 关注厂商IOC规则,及时升级杀毒与EDR
六、结语
当后门开始“借用”正规云服务隐身,传统边界防御正在失效。
GoGra Linux后门的出现,再次提醒:跨平台、 Livingffheloud(云端寄生)已成为APT主流趋势。
保持警惕,比事后补救更重要。
加入知识星球,可获取权益
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。


二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。