Phần mềm độc hại GoGra mới trên Linux sử dụng API Microsoft Graph làm kênh liên lạc

12:05 | 25/04/2026

Biến thể Linux của phần mềm độc hại GoGra hiện đang sử dụng cơ sở hạ tầng hợp pháp của Microsoft, dựa vào hộp thư đến Outlook để phát tán mã độc một cách lén lút. Đáng chú ý, phần mềm độc hại này phát triển bởi nhóm tin tặc Harvester, được đánh giá rất khó bị phát hiện do sử dụng API Microsoft Graph để truy cập dữ liệu hộp thư.

Nhóm Harvester hoạt động ít nhất từ năm 2021 và thường sử dụng các công cụ độc hại tùy chỉnh, chẳng hạn như backdoor và loader trong các chiến dịch nhắm mục tiêu vào các tổ chức viễn thông, chính phủ và công nghệ thông tin ở Nam Á.

Các nhà nghiên cứu của công ty an ninh mạng Symantec đã phân tích các mẫu độc hại GoGra mới trên Linux được lấy từ VirusTotal, phát hiện rằng việc truy cập ban đầu được thực hiện bằng cách đánh lừa nạn nhân thực thi các tệp nhị phân ELF ngụy trang dưới dạng tệp PDF.

Trong một báo cáo ngày 22/4, các nhà nghiên cứu cho biết phiên bản Linux của GoGra sử dụng thông tin đăng nhập Azure Active Directory (AD) được mã hóa cứng, để xác thực với đám mây của Microsoft và lấy OAuth2 token. Điều này cho phép nó tương tác với hộp thư Outlook thông qua API Microsoft Graph.

Ở giai đoạn đầu của cuộc tấn công, một mã độc dựa trên Go sẽ triển khai payload i386, thiết lập khả năng duy trì hoạt động thông qua “systemd” và một mục tự khởi động XDG, giả mạo là ứng dụng giám sát hệ thống Conky hợp pháp trên Linux và BSD.

Theo các nhà nghiên cứu, mã độc này kiểm tra thư mục Outlook có tên “Zomato Pizza” hai giây một lần, nó sử dụng các truy vấn OData để xác định các email đến có tiêu đề bắt đầu bằng “Input”.

Phần mềm độc hại này giải mã nội dung mã hóa base64 và AES-CBC của các tin nhắn đó và thực thi các lệnh thu thập được trên máy tính cục bộ. Kết quả thực thi về sau được mã hóa AES và gửi lại cho người vận hành qua email trả lời với tiêu đề “Output”. Để giảm thiểu khả năng bị phát hiện trong quá trình điều tra, phần mềm độc hại sẽ gửi request HTTP DELETE để xóa email lệnh gốc sau khi xử lý xong.

Symantec nhấn mạnh rằng phiên bản Linux của GoGra có mã nguồn gần như giống hệt với phiên bản Windows của phần mềm độc hại này, bao gồm cả lỗi chính tả trong chuỗi ký tự và tên hàm, cũng như cùng một khóa AES. Điều này cho thấy rất có khả năng cả hai phần mềm độc hại này đều do cùng một nhà phát triển tạo ra, hướng đến nhóm tội phạm mạng Harvester.

Symantec đánh giá sự xuất hiện của biến thể Linux GoGra là dấu hiệu cho thấy Harvester đang mở rộng bộ công cụ và phạm vi mục tiêu của mình để khai thác nhiều hệ thống mục tiêu hơn.