Graphon Backdoor
Graphon Backdoor एक कस्टम-निर्मित पिछले दरवाजे का खतरा है जिसे Harvester नामक एक नए खोजे गए एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह की खतरनाक गतिविधियों के हिस्से के रूप में तैनात किया जा रहा है । हैकर्स दक्षिण एशिया में स्थित लक्ष्यों के खिलाफ विशेष रूप से अफगानिस्तान में जासूसी हमले अभियान चलाने पर केंद्रित प्रतीत होते हैं। पता चला पीड़ित आईटी, सरकार और दूरसंचार सहित कई अलग-अलग क्षेत्रों में काम करते हैं। अभी के लिए, यह तुरंत स्पष्ट नहीं है कि कौन सा राष्ट्र-राज्य हार्वेस्टर की खतरनाक गतिविधियों का समर्थन कर रहा है।
Graphon विवरण
Graphon Backdoor को एक अन्य कस्टम-निर्मित खतरे द्वारा समझौता किए गए सिस्टम तक पहुंचाया जाता है जो एक डाउनलोडर के रूप में कार्य करता है। पिछले दरवाजे को .NET PE DLL फ़ाइल के रूप में संकलित किया गया है। दूषित फ़ाइल को निम्न स्थान पर गिरा दिया गया है:
D:\OfficeProjects\सबमिशन के कारण अपडेटेड वर्किंग\4.5\Outlook_4.5\Outlook 4.5.2 32 बिट बिना प्रेसिस्टेंसी\NPServices\bin\x86\Debug\NPServices[.]pdb
Graphon अपने कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संबंध स्थापित करने का प्रयास करता है। संदिग्ध आउटबाउंड ट्रैफ़िक को छिपाने के लिए हैकर्स Microsoft इन्फ्रास्ट्रक्चर पर पिछले दरवाजे के C2 इन्फ्रास्ट्रक्चर को होस्ट करते हैं। पूरी तरह से तैनात होने पर, Graphon विशिष्ट डेटा प्राप्त करना शुरू कर देगा, जिसे बाद में एन्क्रिप्ट किया जाता है और हमलावर के सर्वर पर बहिष्कृत किया जाता है।