Harvesteri APT

Uhkatutkijoiden uudessa raportissa on paljastettu yksityiskohtia aiemmin tuntemattomasta APT-ryhmästä (Advanced Persistent Threat). Hakkeriryhmää jäljitetään nimellä Harvester, ja sen havaitut uhkaavat toiminnot koostuvat vakoiluhyökkäyksistä Etelä-Aasiassa, pääasiassa Afganistanissa, olevia kohteita vastaan. Kohdeyritykset ovat peräisin useilta eri toimialoilta, mukaan lukien hallinto, tietoliikenne ja IT. Erityisesti Afganistaniin keskittyminen on mielenkiintoista, kun otetaan huomioon siellä viime aikoina tapahtuneet suuret tapahtumat, kuten Yhdysvaltojen päätös vetää armeijansa oltuaan läsnä maassa kaksi vuosikymmentä.

Vaikka tällä hetkellä ei ole tarpeeksi tietoa Harvesterin toimintaa tukevan tarkan kansallisvaltion määrittämiseksi, tietyt todisteet, kuten ryhmän hyökkäykset, joilla ei ole taloudellista syytä, ja useiden räätälöityjen uhkaustyökalujen käyttö viittaavat siihen, että kyseessä on valtio. -sponsoroitu kyberrikollisuusasu ehdottomasti.

Uhkaava Arsenal

Harvester APT käyttää yhdistelmää mukautettuja haittaohjelmia ja julkisesti saatavilla olevia työkaluja luodakseen takaoven vaarantuneille koneille ja siirtääkseen tietoja niistä. Alkuperäinen hyökkäysvektori, jonka kautta hyökkääjät ottavat jalansijan kohteena olevassa organisaatiossa, on edelleen tuntematon. Hakkereiden toiminta sen jälkeen on kuitenkin ollut melko selkeää.

Ensin he ottavat käyttöön mukautetun latausohjelman rikkoutuneeseen järjestelmään. Haittaohjelma toimittaa sitten seuraavan vaiheen hyötykuorman - mukautetun takaoven uhan nimeltä Backdoor.Graphon . Myös muita hyötykuormia on löydetty osana Harvesterin hyökkäyksiä. Näitä ovat muun muassa mukautettu kuvakaappauskaappaus, Cobalt Strike Beacon -työkalu, jota kyberrikolliset käyttävät usein väärin, ja Metasploit, modulaarinen kehys, jota voidaan käyttää moniin tunkeileviin tarkoituksiin.

Hyökkäyksen tiedot

Käytettyjen uhkien yhdistelmän avulla Harvester voi suorittaa erilaisia haitallisia toimia. Se voi ottaa kuvia järjestelmän näytöstä, jotka sitten tallennetaan salasanasuojattuun ZIP-tiedostoon. Tiedosto suodatetaan sitten toiminnan Command-and-Control (C2, C&C) infrastruktuuriin. Cobalt Strike Beaconin kautta kyberrikolliset voivat suorittaa mielivaltaisia komentoja, manipuloida tiedostojärjestelmää, kerätä tiedostoja, aloittaa tai lopettaa prosesseja ja paljon muuta.

Toisaalta Metasploitin avulla he voivat laajentaa etuoikeuksiaan, asettaa pysyvyysmekanismin takaovelle, näytön kaappaamiseen jne. Piilottaakseen käyttöönotetun uhkien ja C2-palvelinten välisen viestinnän Harvesterit yrittävät yhdistää epänormaalin lähtevän liikenteen vaarantuneen organisaation normaalia verkkoliikennettä hyödyntämällä laillista CloudFront- ja Microsoft-infrastruktuuria.