Harvester APT

Detaljer om en tidligere ukendt APT -gruppe (Advanced Persistent Threat) er blevet afsløret i en ny rapport af trusselforskere. Hackergruppen spores som Harvester, og dens opdagede truende operationer består af spionageangreb mod mål i Sydasien, hovedsageligt i Afghanistan. De målrettede virksomheder stammer fra flere forskellige industrisektorer, herunder regering, telekommunikation og IT. Særligt fokus på Afghanistan er interessant, når man tænker på de seneste store begivenheder, der fandt sted der, såsom USA's beslutning om at trække sin hær tilbage efter at have bevaret en tilstedeværelse i landet i to årtier.

Selvom der i øjeblikket ikke er nok data til at præcisere den nøjagtige nationalstat, der bakker op om Harvester's aktiviteter, peger visse beviser, såsom at gruppens angreb ikke er økonomisk motiveret, og brugen af flere specialbyggede truende værktøjer mod, at det er en stat -sponsoreret cyberkriminalitet -outfit bestemt.

Truende Arsenal

Harvester APT anvender en blanding af brugerdefineret malware og offentligt tilgængelige værktøjer til at oprette en bagdør på de kompromitterede maskiner og derefter hæfte information fra dem. Den første angrebsvektor, hvorigennem angriberne etablerer fodfæste i den målrettede organisation, er stadig ukendt. Hackernes aktiviteter efter det har imidlertid været ret klare.

Først implementerer de en brugerdefineret downloader på det brudte system. Malwaren leverer derefter nyttelast i næste trin - en brugerdefineret bagdørstrussel ved navn Backdoor.Graphon. Yderligere nyttelast er også blevet opdaget som en del af Harvester's angreb. Disse inkluderer en brugerdefineret skærmbillede, Cobalt Strike Beacon -værktøjet, der ofte misbruges af cyberkriminelle, og Metasploit, en modulær ramme, der kan bruges til mange påtrængende formål.

Angrebsdetaljer

Gennem kombinationen af indsatte trusler kan Harvester udføre forskellige skadelige handlinger. Det kan tage fotos af systemets skærm, der derefter gemmes i en kodeordbeskyttet ZIP-fil. Filen eksfiltreres derefter til kommando-og-kontrol (C2, C&C) infrastrukturen for operationen. Via Cobalt Strike Beacon kan cyberkriminelle udføre vilkårlige kommandoer, manipulere filsystemet, indsamle filer, starte eller afslutte processer og mere.

På den anden side giver Metasploit dem mulighed for at opnå privilegium -eskalering, oprette en persistensmekanisme for deres bagdør, skærmoptagelse osv. For at skjule kommunikationen mellem de indsatte trusler og C2 -serverne forsøger Harvesters at blande den unormale udgående trafik med normal netværkstrafik i den kompromitterede organisation ved at udnytte legitim CloudFront og Microsoft -infrastruktur.