Комбайн APT

До GoldSparrow през Advanced Persistent Threat (APT)г

Превод на:

Подробности за неизвестна досега група APT (Advanced Persistent Threat) бяха разкрити в нов доклад от изследователи на заплахи. Хакерската група се проследява като Harvester, а откритите й заплашителни операции се състоят от шпионски атаки срещу цели в Южна Азия, главно в Афганистан. Целевите корпорации произтичат от няколко различни индустриални сектора, включително правителство, телекомуникации и ИТ. Фокусът върху Афганистан, по -специално, е интересен, като се имат предвид последните неотдавнашни събития, които са се случили там, като например решението на САЩ да изтеглят армията си, след като поддържат присъствие в страната в продължение на две десетилетия.

Въпреки че в момента няма достатъчно данни, за да се посочи точно националната държава, която подкрепя дейностите на Harvester, някои доказателства, като например, че атаките на групата не са финансово мотивирани и използването на няколко инструмента, създадени по поръчка, показват, че това е държава -спонсориран екип за киберпрестъпления определено.

Заплашващ Арсенал

Harvester APT използва комбинация от персонализиран зловреден софтуер и публично достъпни инструменти за създаване на задна врата на компрометираните машини и след това извлича информация от тях. Първоначалният вектор на атака, чрез който нападателите установяват опора в целевата организация, остава неизвестен. Действията на хакерите след това бяха доста ясни.

Първо, те внедряват персонализиран изтеглящ файл в нарушената система. След това зловредният софтуер доставя полезен товар от следващия етап - персонализирана заплаха от задната врата, наречена Backdoor.Graphon . Допълнителни полезни товари също са открити като част от атаките на Harvester. Те включват персонализиран грайфер на екранни снимки, инструмента Cobalt Strike Beacon, често злоупотребяван от киберпрестъпници, и Metasploit, модулна рамка, която може да се използва за множество натрапчиви цели.

Подробности за атаката

Чрез комбинацията от внедрени заплахи, Harvester може да извършва различни вредни действия. Той може да заснеме снимки на екрана на системата, които след това се съхраняват в защитен с парола ZIP файл. След това файлът се ексфилтрира в инфраструктурата на операцията за управление и управление (C2, C&C). Чрез Cobalt Strike Beacon киберпрестъпниците могат да изпълняват произволни команди, да манипулират файловата система, да събират файлове, да стартират или прекратяват процеси и др.

От друга страна, Metasploit им позволява да постигнат ескалация на привилегии, да създадат механизъм за постоянство на задната им врата, улавяне на екрана и т.н. нормален мрежов трафик на компрометираната организация чрез използване на легитимна инфраструктура на CloudFront и Microsoft.