B
今週中
脅威アクター「Harvester」が、南アジアの組織を標的としたLinux版のGoGraバックドアを配備しました
📌 一言でいうと
脅威アクター「Harvester」が、南アジアの組織を標的としたLinux版のGoGraバックドアを配備しました。このマルウェアはMicrosoft Graph APIとOutlookメールボックスをC2チャネルとして利用し、従来のネットワーク防御を回避します。インドやアフガニスタンのサンプルが確認されており、政府や通信、ITセクターを狙ったスパイ活動である可能性が高いとされています。
🏢影響範囲
南アジア(インド、アフガニスタン)の政府、通信、ITセクター
✅該当時の対応
Microsoft Graph APIへの不審なアクセスを監視し、Outlookメールボックスの認証ログを分析して異常な通信を検知すること。また、Linuxサーバーにおける未知のバイナリの実行を制限し、エンドポイント検出および応答(EDR)ソリューションを導入することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】脅威アクター「Harvester」によるLinux版GoGraバックドアの配備について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「Harvester」が、Microsoft Graph APIおよびOutlookメールボックスをC2(コマンド&コントロール)チャネルとして悪用するLinux版のGoGraバックドアを配備していることが判明しました。正規のAPI通信を装うため、従来の境界防御を回避する特性を持っています。
■ 影響範囲
- Linuxサーバー(特に南アジア地域の政府、通信、ITセクターが標的とされていますが、同様の手法が他地域へ展開される可能性があります)
- Microsoft Graph APIを利用している環境
■ 対応手順
1. Microsoft Graph APIへの不審なアクセスログおよびOutlookメールボックスの認証ログを分析し、異常な通信パターンがないか確認してください。
2. Linuxサーバーにおける未知のバイナリ実行を制限し、EDR(Endpoint Detection and Response)による監視を強化してください。
3. C2通信として利用される可能性のある不審なAPIコールを検知・遮断する設定を検討してください。
■ 参考情報
- Symantec / Carbon Black Threat Hunter Team Report
対応優先度: 高(速やかな確認と監視体制の強化を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「Harvester」が、Microsoft Graph APIおよびOutlookメールボックスをC2(コマンド&コントロール)チャネルとして悪用するLinux版のGoGraバックドアを配備していることが判明しました。正規のAPI通信を装うため、従来の境界防御を回避する特性を持っています。
■ 影響範囲
- Linuxサーバー(特に南アジア地域の政府、通信、ITセクターが標的とされていますが、同様の手法が他地域へ展開される可能性があります)
- Microsoft Graph APIを利用している環境
■ 対応手順
1. Microsoft Graph APIへの不審なアクセスログおよびOutlookメールボックスの認証ログを分析し、異常な通信パターンがないか確認してください。
2. Linuxサーバーにおける未知のバイナリ実行を制限し、EDR(Endpoint Detection and Response)による監視を強化してください。
3. C2通信として利用される可能性のある不審なAPIコールを検知・遮断する設定を検討してください。
■ 参考情報
- Symantec / Carbon Black Threat Hunter Team Report
対応優先度: 高(速やかな確認と監視体制の強化を推奨)
Subject: [Security Advisory] Deployment of Linux GoGra Backdoor by Threat Actor "Harvester"
Hi all,
This is a security notification regarding a new campaign by the threat actor known as "Harvester."
■ Overview
Harvester has deployed a Linux version of its GoGra backdoor. This malware leverages the legitimate Microsoft Graph API and Outlook mailboxes as a covert command-and-control (C2) channel, allowing it to bypass traditional perimeter network defenses by blending in with normal cloud traffic.
■ Scope
- Linux servers
- Environments utilizing Microsoft Graph API
- While currently targeting South Asia (India, Afghanistan), the technique poses a risk to any organization using these services.
■ Recommended Actions
1. Monitor and analyze Microsoft Graph API access logs and Outlook mailbox authentication logs for anomalous communication patterns.
2. Restrict the execution of unknown binaries on Linux servers and enhance monitoring via EDR (Endpoint Detection and Response) solutions.
3. Review API call patterns to identify and block potential C2 traffic masquerading as legitimate cloud service requests.
■ Reference
- Symantec / Carbon Black Threat Hunter Team Report
Priority: High (Prompt review and strengthening of monitoring are recommended)
Hi all,
This is a security notification regarding a new campaign by the threat actor known as "Harvester."
■ Overview
Harvester has deployed a Linux version of its GoGra backdoor. This malware leverages the legitimate Microsoft Graph API and Outlook mailboxes as a covert command-and-control (C2) channel, allowing it to bypass traditional perimeter network defenses by blending in with normal cloud traffic.
■ Scope
- Linux servers
- Environments utilizing Microsoft Graph API
- While currently targeting South Asia (India, Afghanistan), the technique poses a risk to any organization using these services.
■ Recommended Actions
1. Monitor and analyze Microsoft Graph API access logs and Outlook mailbox authentication logs for anomalous communication patterns.
2. Restrict the execution of unknown binaries on Linux servers and enhance monitoring via EDR (Endpoint Detection and Response) solutions.
3. Review API call patterns to identify and block potential C2 traffic masquerading as legitimate cloud service requests.
■ Reference
- Symantec / Carbon Black Threat Hunter Team Report
Priority: High (Prompt review and strengthening of monitoring are recommended)