NERDMANLinux-Malware versteckt sich in Outlook-Postfächern
Eine neue Backdoor namens GoGra nutzt Microsofts eigene Cloud-Infrastruktur als Tarnkappe. Die Malware kommuniziert über die Microsoft Graph API — und tarnt ihren gesamten Datenverkehr als normalen Outlook-Traffic.
Wie GoGra funktioniert
Das Prinzip ist simpel und genau deshalb gefährlich: GoGra loggt sich mit gestohlenen OAuth-Tokens in ein Outlook-Postfach ein. Befehle kommen als E-Mails rein, Ergebnisse gehen als E-Mails raus. Für jede Firewall sieht das aus wie ein Mitarbeiter, der seine Mails checkt.
- Ziel:** Linux-Systeme
- Sprache:** In Go geschrieben
- C2-Kanal:** Microsoft Graph API (Outlook)
- Tarnung:** Legitimer Microsoft-Traffic, kaum von normalem Mailverkehr unterscheidbar
Was das bedeutet
Angreifer missbrauchen zunehmend vertrauenswürdige Cloud-Dienste als Kommandokanal. Klassische Netzwerk-Überwachung versagt hier komplett — niemand blockt Traffic zu `graph.microsoft.com`. Wer sich auf Firewall-Regeln verlässt, hat gegen GoGra schon verloren.
Pro (aus Angreifer-Sicht)
- Traffic sieht völlig legitim aus
- Microsoft-Infrastruktur ist hochverfügbar
- Schwer zu blocken ohne Kollateralschaden
Con (für Verteidiger)
- Standard-IDS erkennt nichts
- Blocken würde Microsoft-Dienste lahmlegen
- Erkennung nur über Verhaltensanalyse möglich
Der Trend dahinter
GoGra ist kein Einzelfall. Immer mehr Malware-Familien setzen auf „Living off Trusted Services" — sie kapern Google Drive, Slack, Teams oder eben Outlook als Steuerungskanal. Die Angreifer haben verstanden: Der beste Ort zum Verstecken ist dort, wo alle hinschauen und nichts Verdächtiges sehen.