Harvester APT

Podrobnosti o dříve neznámé skupině APT (Advanced Persistent Threat) odhalila nová zpráva výzkumníků hrozeb. Skupina hackerů je sledována jako Harvester a její zjištěné hrozivé operace se skládají ze špionážních útoků na cíle v jižní Asii, hlavně v Afghánistánu. Cílové společnosti pocházejí z několika různých průmyslových odvětví, včetně vlády, telekomunikací a IT. Zajímavé je zejména zaměření na Afghánistán, když vezmeme v úvahu nedávné velké události, které se tam odehrály, například rozhodnutí USA stáhnout svou armádu poté, co si v zemi po dvě desetiletí udržely přítomnost.

Ačkoli v tuto chvíli není k dispozici dostatek údajů k určení přesného národního státu, který podporuje aktivity Harvesteru, určité důkazy, jako například útoky skupiny nejsou finančně motivované a použití několika na míru vytvořených ohrožujících nástrojů, ukazují, že jde o stát -Rozhodně sponzorovaný počítačový zločin.

Ohrožující Arsenal

Harvester APT využívá kombinaci vlastního malwaru a veřejně dostupných nástrojů k vytvoření backdooru na kompromitovaných počítačích a poté z nich odčerpává informace. Počáteční vektor útoku, pomocí kterého si útočníci vytvoří oporu v cílové organizaci, zůstává neznámý. Činnosti hackerů poté však byly docela jasné.

Nejprve do narušeného systému nasadí vlastní stahovač. Malware pak přináší užitečné zatížení další fáze - vlastní hrozbu pro zadní vrátka s názvem Backdoor.Graphon . V rámci útoků Harvesteru byly objeveny také další užitečné zatížení. Patří mezi ně vlastní grabber screenshotů, nástroj Cobalt Strike Beacon, běžně zneužívaný kyberzločinci, a Metasploit, modulární framework, který lze použít k mnoha rušivým účelům.

Podrobnosti o útoku

Díky kombinaci nasazených hrozeb může Harvester provádět různé škodlivé akce. Dokáže zachytit fotografie obrazovky systému, které jsou poté uloženy v souboru ZIP chráněném heslem. Soubor je poté přenesen do infrastruktury operace Command-and-Control (C2, C&C). Pomocí Cobalt Strike Beacon mohou kyberzločinci spouštět libovolné příkazy, manipulovat se souborovým systémem, shromažďovat soubory, spouštět nebo ukončovat procesy a další.

Na druhou stranu jim Metasploit umožňuje dosáhnout eskalace privilegií, nastavit mechanismus vytrvalosti pro jejich zadní vrátka, snímání obrazovky atd. Aby skryli komunikaci mezi nasazenými hrozbami a servery C2, pokusí se Harvesters spojit abnormální odchozí provoz s normální síťový provoz ohrožené organizace pomocí legitimní infrastruktury CloudFront a Microsoft.

Trendy

Nejvíce shlédnuto

Načítání...