文章总结： HarvesterAPT组织利用微软Outlook邮箱和MicrosoftGraphAPI隐藏Linux后门GoGra的通信，通过社交工程诱导南亚目标执行伪装成PDF的ELF文件，建立持久化机制并加密传输指令。防御建议包括检查systemd用户单元、OAuth2令牌异常请求及封锁未批准Azure应用凭证。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,红队,安全运营

黑客滥用Outlook邮箱隐藏Linux后门，南亚成重点攻击目标

FreeBuf

2026年4月24日 18:03 上海

在小说阅读器读本章

去阅读

#

Part01

攻击手法分析

一个疑似国家背景的黑客组织开发出利用微软Outlook邮箱隐藏恶意活动的新技术，使常规安全工具难以检测其攻击行为。自2021年起活跃的Harvester APT组织（被认定具有国家背景）近期升级了其GoGra后门程序，推出Linux版本。该恶意软件通过合法的Microsoft Graph API和真实Outlook邮箱建立隐蔽命令控制（C2）通道，借助受信任的微软云基础设施绕过传统边界防御——这些防御机制通常不会将正常邮件流量标记为可疑。

Part02

攻击目标与特征

此次攻击活动以间谍目的为主，非经济利益驱动。VirusTotal平台最早收到的恶意样本提交记录显示，受害目标主要位于印度和阿富汗，表明南亚地区仍是该组织的重点攻击区域。攻击者还使用了包含当地文化元素名称的诱饵文档，体现出高度定制化的定向攻击策略。历史数据显示，Harvester长期专注于南亚地区的间谍活动，此次攻击延续了该模式。

Part03

技术演进与感染链

赛门铁克与Carbon Black分析师确认，这款Linux恶意软件是Harvester已知Windows间谍活动的扩展版本。研究人员发现新旧版本存在显著代码相似性，证实该组织正在积极发展跨平台攻击能力。攻击者通过社交工程手段诱导受害者打开伪装成PDF文档（如”TheExternalAffairesMinister.pdf”）的Linux ELF二进制文件，触发后台静默感染流程，并建立持久化机制确保系统重启后仍能运行。

Part04

微软基础设施滥用机制

该后门最具技术突破性的特征在于将合法微软云服务转化为隐蔽通信渠道。感染初期，Go加载器会释放约5.9MB的i386可执行文件至”~/.config/systemd/user/userservice”路径。为实现持久化，恶意软件伪装成合法的Conky系统监视工具，创建systemd用户单元和XDG自启动项。核心载荷包含明文存储的Azure AD应用凭证（租户ID、客户端ID和客户端密钥），使其能直接向微软请求OAuth2令牌，并通过名为”Zomato Pizza”的Outlook邮箱文件夹建立通信（每2秒轮询指令）。

Part05

防御建议

攻击者发送的指令邮件主题以”Input”开头，恶意程序会解密经过AES-CBC加密的base64编码邮件正文，通过/bin/bash执行命令后，将结果加密并通过主题为”Output”的回复邮件传回。完成通信后，后门会发送HTTP DELETE请求清除原始指令邮件，几乎不留痕迹。建议Linux系统用户重点检查以下异常迹象：

• 自启动项和systemd用户单元中的可疑服务（特别是仿冒Conky的工具）
• 非常规终端的OAuth2令牌请求和Microsoft Graph API活动
• 用户目录下带有虚假扩展名的ELF二进制文件
• 非标准进程在”~/.config/systemd/user/”路径的写入操作 企业应封锁未经批准的Azure AD应用凭证以降低此类滥用风险。

参考来源：

Hackers Use Outlook Mailboxes to Hide Linux GoGra Backdoor Communications

Hackers Use Outlook Mailboxes to Hide Linux GoGra Backdoor Communications

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客滥用Outlook邮箱隐藏Linux后门，南亚成重点攻击目标》