Harvester APT

खतरे के शोधकर्ताओं की एक नई रिपोर्ट में पहले से अज्ञात एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के बारे में विवरण सामने आया है। हैकर समूह को हार्वेस्टर के रूप में ट्रैक किया जाता है, और इसके खतरे के संचालन में दक्षिण एशिया में मुख्य रूप से अफगानिस्तान में लक्ष्य के खिलाफ जासूसी के हमले शामिल हैं। लक्षित निगम सरकार, दूरसंचार और आईटी सहित कई अलग-अलग उद्योग क्षेत्रों से उपजी हैं। अफगानिस्तान पर ध्यान केंद्रित करना, विशेष रूप से, दिलचस्प है, हाल ही में वहां हुई प्रमुख घटनाओं को ध्यान में रखते हुए, जैसे कि दो दशकों तक देश में उपस्थिति बनाए रखने के बाद अपनी सेना को वापस लेने का अमेरिका का निर्णय।

हालांकि इस समय सटीक राष्ट्र-राज्य को इंगित करने के लिए पर्याप्त डेटा नहीं है जो हार्वेस्टर की गतिविधियों का समर्थन कर रहा है, कुछ सबूत जैसे कि समूह के हमलों को आर्थिक रूप से प्रेरित नहीं किया जा रहा है और कई कस्टम-निर्मित धमकी देने वाले उपकरणों का उपयोग इसे एक राज्य होने की ओर इशारा करता है। -प्रायोजित साइबर अपराध संगठन निश्चित रूप से।

धमकी भरा शस्त्रागार

हार्वेस्टर एपीटी समझौता मशीनों पर पिछले दरवाजे बनाने के लिए कस्टम मैलवेयर और सार्वजनिक रूप से उपलब्ध टूल के मिश्रण को नियोजित करता है और फिर उनसे जानकारी प्राप्त करता है। प्रारंभिक हमला वेक्टर जिसके माध्यम से हमलावर लक्षित संगठन के अंदर पैर जमाते हैं, अज्ञात रहता है। हालांकि, उसके बाद हैकर्स की गतिविधियां काफी स्पष्ट रही हैं।

सबसे पहले, वे भंग सिस्टम पर एक कस्टम डाउनलोडर तैनात करते हैं। इसके बाद मैलवेयर अगले चरण के पेलोड को वितरित करता है - एक कस्टम बैकडोर खतरा जिसे Backdoor.Graphon नाम दिया गया है। हार्वेस्टर के हमलों के हिस्से के रूप में अतिरिक्त पेलोड भी खोजे गए हैं। इनमें एक कस्टम स्क्रीनशॉट धरनेवाला, कोबाल्ट स्ट्राइक बीकन टूल, जो आमतौर पर साइबर अपराधियों द्वारा दुरुपयोग किया जाता है, और मेटास्प्लोइट, एक मॉड्यूलर ढांचा शामिल है जिसका उपयोग कई घुसपैठ उद्देश्यों के लिए किया जा सकता है।

हमले का विवरण

तैनात खतरों के संयोजन के माध्यम से, हार्वेस्टर विभिन्न हानिकारक कार्य कर सकता है। यह सिस्टम की स्क्रीन की तस्वीरों को कैप्चर कर सकता है जिन्हें बाद में पासवर्ड-प्रोटेक्ट जिप फाइल में स्टोर किया जाता है। फ़ाइल को ऑपरेशन के कमांड-एंड-कंट्रोल (C2, C&C) इन्फ्रास्ट्रक्चर में एक्सफिल्टर किया जाता है। कोबाल्ट स्ट्राइक बीकन के माध्यम से, साइबर अपराधी मनमाने आदेशों को निष्पादित कर सकते हैं, फाइल सिस्टम में हेरफेर कर सकते हैं, फाइलें एकत्र कर सकते हैं, प्रक्रियाओं को शुरू या समाप्त कर सकते हैं और बहुत कुछ कर सकते हैं।

दूसरी ओर, मेटास्प्लोइट उन्हें विशेषाधिकार वृद्धि प्राप्त करने, उनके पिछले दरवाजे, स्क्रीन कैप्चर आदि के लिए एक दृढ़ता तंत्र स्थापित करने की अनुमति देता है। तैनात खतरों और C2 सर्वर के बीच संचार को छिपाने के लिए, हार्वेस्टर असामान्य आउटगोइंग ट्रैफ़िक को मिश्रित करने का प्रयास करते हैं। वैध CloudFront और Microsoft अवसंरचना का लाभ उठाकर समझौता किए गए संगठन का सामान्य नेटवर्क ट्रैफ़िक।