حصادة APT

تم الكشف عن تفاصيل حول مجموعة APT (التهديد المستمر المتقدم) غير المعروفة سابقًا في تقرير جديد من قبل باحثين في مجال التهديد. يتم تعقب مجموعة المتسللين باسم Harvester ، وتتكون عمليات التهديد المكتشفة من هجمات تجسس ضد أهداف في جنوب آسيا ، وخاصة في أفغانستان. تنبع الشركات المستهدفة من عدة قطاعات صناعية مختلفة ، بما في ذلك الحكومة والاتصالات وتكنولوجيا المعلومات. التركيز على أفغانستان ، على وجه الخصوص ، مثير للاهتمام ، مع الأخذ في الاعتبار الأحداث الكبرى الأخيرة التي حدثت هناك ، مثل قرار الولايات المتحدة بسحب جيشها بعد الحفاظ على وجودها في البلاد لمدة عقدين من الزمن.

على الرغم من عدم وجود بيانات كافية في الوقت الحالي لتحديد الدولة القومية التي تدعم أنشطة Harvester ، إلا أن بعض الأدلة مثل هجمات المجموعة ليست ذات دوافع مالية واستخدام العديد من أدوات التهديد المصممة خصيصًا تشير إلى كونها دولة - برعاية جماعة جرائم الإنترنت بالتأكيد.

تهديد ارسنال

تستخدم Harvester APT مزيجًا من البرامج الضارة المخصصة والأدوات المتاحة للجمهور لإنشاء باب خلفي على الأجهزة المخترقة ثم سحب المعلومات منها. لا يزال ناقل الهجوم الأولي الذي من خلاله المهاجمون موطئ قدم داخل المنظمة المستهدفة غير معروف. ومع ذلك ، كانت أنشطة المتسللين بعد ذلك واضحة جدًا.

أولاً ، يقومون بنشر أداة تنزيل مخصصة على النظام المخترق. يقوم البرنامج الضار بعد ذلك بتسليم حمولة المرحلة التالية - تهديد خلفي مخصص يسمى Backdoor.Graphon . تم اكتشاف حمولات إضافية أيضًا كجزء من هجمات Harvester. يتضمن ذلك أداة التقاط لقطة شاشة مخصصة ، وأداة Cobalt Strike Beacon ، التي يسيء استخدامها عادةً مجرمو الإنترنت ، و Metasploit ، وهو إطار معياري يمكن استخدامه للعديد من الأغراض التطفلية.

تفاصيل الهجوم

من خلال مجموعة التهديدات المنتشرة ، يمكن أن يقوم Harvester بأداء العديد من الإجراءات الضارة. يمكنه التقاط صور لشاشة النظام يتم تخزينها بعد ذلك في ملف ZIP محمي بكلمة مرور. ثم يتم إخراج الملف إلى البنية التحتية للقيادة والتحكم (C2 ، C&C) للعملية. من خلال Cobalt Strike Beacon ، يمكن لمجرمي الإنترنت تنفيذ أوامر عشوائية ، والتلاعب في نظام الملفات ، وجمع الملفات ، وبدء العمليات أو إنهاؤها وغير ذلك.

من ناحية أخرى ، تسمح Metasploit لهم بتحقيق تصعيد الامتيازات ، وإعداد آلية استمرار للباب الخلفي ، والتقاط الشاشة ، وما إلى ذلك. لإخفاء الاتصال بين التهديدات المنشورة وخوادم C2 ، يحاول Harvesters دمج حركة المرور الصادرة غير الطبيعية مع حركة مرور الشبكة العادية للمؤسسة المعرضة للخطر من خلال الاستفادة من البنية الأساسية الشرعية CloudFront و Microsoft.

الشائع

الأكثر مشاهدة

جار التحميل...