Harvester APT

جزئیاتی در مورد یک گروه APT (تهدید پایدار پیشرفته) که قبلا ناشناخته بود، در گزارش جدیدی توسط محققان تهدید فاش شده است. این گروه هکر با نام Harvester ردیابی می شود و عملیات تهدید آمیز شناسایی شده آن شامل حملات جاسوسی علیه اهدافی در جنوب آسیا، عمدتا در افغانستان است. شرکت های هدف از چندین بخش مختلف صنعتی، از جمله دولت، مخابرات و فناوری اطلاعات سرچشمه می گیرند. تمرکز بر افغانستان به ویژه با در نظر گرفتن رویدادهای مهم اخیر که در آنجا رخ داده است، از جمله تصمیم ایالات متحده برای خروج ارتش خود پس از دو دهه حضور در این کشور، جالب توجه است.

اگرچه در حال حاضر داده‌های کافی برای مشخص کردن دولت-ملت دقیقی وجود ندارد که از فعالیت‌های هاروستر حمایت می‌کند، شواهد خاصی مانند عدم انگیزه مالی حملات این گروه و استفاده از چندین ابزار تهدیدکننده سفارشی نشان می‌دهد که این گروه یک ایالت است. - قطعاً لباس های حمایت شده از جنایات سایبری.

آرسنال را تهدید می کند

Harvester APT ترکیبی از بدافزارهای سفارشی و ابزارهای در دسترس عموم را برای ایجاد یک درب پشتی در ماشین های در معرض خطر و سپس استخراج اطلاعات از آنها به کار می گیرد. بردار حمله اولیه که از طریق آن مهاجمان جای پای خود را در سازمان هدف قرار می دهند ناشناخته باقی مانده است. با این حال، فعالیت هکرها پس از آن کاملاً واضح است.

اول، آنها یک دانلود کننده سفارشی را روی سیستم نقض شده مستقر می کنند. سپس بدافزار مرحله بعدی را تحویل می دهد - یک تهدید درب پشتی سفارشی به نام Backdoor.Graphon . محموله های اضافی نیز به عنوان بخشی از حملات هاروستر کشف شده است. اینها شامل یک اسکرین شات گیر سفارشی، ابزار Cobalt Strike Beacon، که معمولاً توسط مجرمان سایبری مورد سوء استفاده قرار می گیرد، و Metasploit، یک چارچوب مدولار که می تواند برای اهداف مزاحم متعددی استفاده شود، می شود.

جزئیات حمله

از طریق ترکیب تهدیدات مستقر شده، هاروستر می تواند اقدامات مضر مختلفی را انجام دهد. این می تواند عکس هایی از صفحه نمایش سیستم بگیرد که سپس در یک فایل ZIP محافظت شده با رمز عبور ذخیره می شوند. سپس فایل به زیرساخت فرماندهی و کنترل (C2, C&C) عملیات استخراج می‌شود. از طریق Cobalt Strike Beacon، مجرمان سایبری می توانند دستورات دلخواه را اجرا کنند، سیستم فایل را دستکاری کنند، فایل ها را جمع آوری کنند، فرآیندها را شروع یا خاتمه دهند و موارد دیگر.

از سوی دیگر، Metasploit به آن‌ها اجازه می‌دهد تا به افزایش امتیاز دست یابند، یک مکانیسم پایداری برای درب پشتی، ضبط صفحه و غیره راه‌اندازی کنند. برای پنهان کردن ارتباط بین تهدیدات مستقر شده و سرورهای C2، Harvester تلاش می‌کند تا ترافیک خروجی غیرعادی را با ترافیک عادی شبکه سازمان در معرض خطر با استفاده از زیرساخت های قانونی CloudFront و Microsoft.