Kombajn APT

Pojedinosti o prethodno nepoznatoj APT (Advanced Persistent Threat) skupini otkriveni su u novom izvješću istraživača prijetnji. Hakerska skupina prati se kao Harvester, a njezine otkrivene prijeteće operacije sastoje se od špijunskih napada na ciljeve u južnoj Aziji, uglavnom u Afganistanu. Ciljane korporacije potječu iz nekoliko različitih industrijskih sektora, uključujući vladu, telekomunikacije i IT. Posebno je zanimljiv fokus na Afganistanu, imajući u vidu nedavne velike događaje koji su se tamo dogodili, poput odluke SAD-a da povuče svoju vojsku nakon što je u zemlji zadržala prisutnost dva desetljeća.

Iako u ovom trenutku nema dovoljno podataka da bi se točno odredila nacionalna država koja podržava Harvesterove aktivnosti, određeni dokazi kao što su napadi grupe nisu financijski motivirani i korištenje nekoliko prilagođenih prijetećih alata upućuju na to da je to država -sponzorirano odijelo za cyber kriminal definitivno.

Prijeti Arsenalu

Harvester APT koristi mješavinu prilagođenog zlonamjernog softvera i javno dostupnih alata za stvaranje backdoor-a na ugroženim strojevima, a zatim iz njih izvlači podatke. Početni vektor napada kroz koji napadači uspostavljaju uporište unutar ciljane organizacije ostaje nepoznat. Međutim, aktivnosti hakera nakon toga bile su prilično jasne.

Prvo, postavljaju prilagođeni program za preuzimanje na provaljeni sustav. Zlonamjerni softver tada isporučuje korisni teret sljedeće faze - prilagođenu backdoor prijetnju pod nazivom Backdoor.Graphon . Dodatni nosivi tereti također su otkriveni kao dio Harvesterovih napada. To uključuje prilagođeni hvatač snimki zaslona, alat Cobalt Strike Beacon, koji često zlorabe kibernetički kriminalci, i Metasploit, modularni okvir koji se može koristiti u brojne nametljive svrhe.

Pojedinosti o napadu

Kombinacijom raspoređenih prijetnji Harvester može izvoditi razne štetne radnje. Može snimiti fotografije zaslona sustava koje se zatim pohranjuju u ZIP datoteku zaštićenu lozinkom. Datoteka se zatim eksfiltrira u infrastrukturu zapovijedanja i upravljanja (C2, C&C) operacije. Putem Cobalt Strike Beacona, kibernetički kriminalci mogu izvršavati proizvoljne naredbe, manipulirati datotečnim sustavom, prikupljati datoteke, pokretati ili prekidati procese i još mnogo toga.

S druge strane, Metasploit im omogućuje povećanje privilegija, postavljanje mehanizma postojanosti za njihova stražnja vrata, snimanje zaslona, itd. Kako bi sakrili komunikaciju između implementiranih prijetnji i C2 poslužitelja, Harvesters pokušavaju spojiti nenormalan odlazni promet s normalan mrežni promet ugrožene organizacije korištenjem legitimne CloudFront i Microsoftove infrastrukture.

U trendu

Nagledanije

Učitavam...