Segadora APT

Els detalls sobre un grup d'APT (amenaça persistent avançada) desconegut anteriorment s'han revelat en un nou informe d'investigadors d'amenaces. El grup de pirates informàtics és rastrejat com a Harvester, i les seves operacions amenaçadores detectades consisteixen en atacs d'espionatge contra objectius al sud d'Àsia, principalment a l'Afganistan. Les corporacions objectiu provenen de diversos sectors industrials diferents, com ara el govern, les telecomunicacions i les TI. L'atenció a l'Afganistan, en particular, és interessant, tenint en compte els darrers grans esdeveniments que hi van tenir lloc, com la decisió dels EUA de retirar el seu exèrcit després de mantenir presència al país durant dues dècades.

Tot i que de moment no hi ha prou dades per identificar l'estat-nació exacte que recolza les activitats de Harvester, certes proves, com ara els atacs del grup no estan motivats econòmicament i l'ús de diverses eines amenaçadores fetes a mida, apunten que és un estat. -Support de ciberdelinqüència definitivament.

Amenaça a l'Arsenal

El Harvester APT utilitza una combinació de programari maliciós personalitzat i eines disponibles públicament per crear una porta posterior a les màquines compromeses i després desviar-ne la informació. El vector d'atac inicial a través del qual els atacants s'estableixen a l'interior de l'organització objectiu segueix sent desconegut. Tanmateix, les activitats dels pirates informàtics després d'això han estat força clares.

En primer lloc, despleguen un descarregador personalitzat al sistema violat. Aleshores, el programari maliciós ofereix la càrrega útil de la següent etapa: una amenaça de porta posterior personalitzada anomenada Backdoor.Graphon . També s'han descobert càrregues addicionals com a part dels atacs de Harvester. Aquests inclouen un capturador de captures de pantalla personalitzat, l'eina Cobalt Strike Beacon, habitualment abusada pels ciberdelinqüents, i Metasploit, un marc modular que es pot utilitzar per a nombrosos propòsits intrusius.

Detalls de l'atac

Mitjançant la combinació d'amenaces desplegades, Harvester pot realitzar diverses accions perjudicials. Pot capturar fotos de la pantalla del sistema que després s'emmagatzemen en un fitxer ZIP protegit amb contrasenya. A continuació, el fitxer s'exfiltra a la infraestructura de comandament i control (C2, C&C) de l'operació. Mitjançant el Cobalt Strike Beacon, els cibercriminals poden executar ordres arbitràries, manipular el sistema de fitxers, recopilar fitxers, iniciar o finalitzar processos i molt més.

D'altra banda, Metasploit els permet aconseguir una escalada de privilegis, establir un mecanisme de persistència per a la seva porta posterior, captura de pantalla, etc. Per ocultar la comunicació entre les amenaces desplegades i els servidors C2, Harveters intenten combinar el trànsit sortint anormal amb el trànsit normal de xarxa de l'organització compromesa aprofitant la infraestructura legítima de CloudFront i Microsoft.