Harvester APT

Üksikasjad varem tundmatu APT (Advanced Persistent Threat) rühma kohta on avalikustatud ohuuurijate uues aruandes. Häkkerirühmitust jälgitakse kui Harvesterit ja selle avastatud ähvardavad operatsioonid seisnevad spionaažirünnakutes sihtmärkide vastu Lõuna-Aasias, peamiselt Afganistanis. Sihtettevõtted pärinevad mitmest erinevast tööstussektorist, sealhulgas valitsusest, telekommunikatsioonist ja IT-st. Eriti huvitav on keskendumine Afganistanile, pidades silmas seal aset leidnud hiljutisi suursündmusi, nagu USA otsus viia oma armee välja pärast seda, kui riigis viibis kaks aastakümmet kohalolekut.

Kuigi praegu pole piisavalt andmeid, et täpselt kindlaks teha, milline rahvusriik Harvesteri tegevust toetab, viitavad teatud tõendid, nagu rühmituse rünnakud, mis ei ole rahaliselt motiveeritud, ja mitmete eritellimusel valmistatud ähvardamisvahendite kasutamine, et tegemist on riigiga. -Sponsoreeritud küberkuritegevuse varustus kindlasti.

Arsenali ähvardamine

Harvester APT kasutab kohandatud pahavara ja avalikult kättesaadavate tööriistade kombinatsiooni, et luua ohustatud masinatele tagauks ja seejärel saada neist teavet. Esialgne ründevektor, mille kaudu ründajad sihikule suunatud organisatsioonis kanda kinnitavad, jääb teadmata. Häkkerite tegevus pärast seda on aga olnud üsna selge.

Esiteks juurutavad nad rikutud süsteemile kohandatud allalaadija. Seejärel edastab pahavara järgmise etapi kasuliku koormuse – kohandatud tagaukse ohu nimega Backdoor.Graphon . Harvesteri rünnakute osana on avastatud ka lisakoormusi. Nende hulka kuuluvad kohandatud ekraanipiltide püüdja, tööriist Cobalt Strike Beacon, mida küberkurjategijad sageli kuritarvitavad, ja Metasploit, modulaarne raamistik, mida saab kasutada paljudel pealetükkivatel eesmärkidel.

Rünnaku üksikasjad

Kasutatud ohtude kombinatsiooni kaudu saab Harvester teha mitmesuguseid kahjulikke toiminguid. See suudab jäädvustada fotosid süsteemi ekraanist, mis seejärel salvestatakse parooliga kaitstud ZIP-faili. Seejärel eksfiltreeritakse fail operatsiooni Command-and-Control (C2, C&C) infrastruktuuri. Cobalt Strike Beaconi kaudu saavad küberkurjategijad täita suvalisi käske, manipuleerida failisüsteemiga, koguda faile, käivitada või lõpetada protsesse ja palju muud.

Teisest küljest võimaldab Metasploit neil saavutada privileegide eskalatsiooni, seadistada oma tagaukse püsivusmehhanismi, ekraanihõivet jne. Kasutatud ohtude ja C2-serverite vahelise suhtluse varjamiseks üritavad Harvesterid segada ebanormaalset väljuvat liiklust ohustatud organisatsiooni tavalist võrguliiklust, võimendades legitiimset CloudFronti ja Microsofti infrastruktuuri.