Harvester APT

Részleteket tártak fel egy korábban ismeretlen APT (Advanced Persistent Threat) csoportról a fenyegetéskutatók új jelentésében. A hackercsoportot Harvesterként követik nyomon, és észlelt fenyegető műveletei dél-ázsiai, főként afganisztáni célpontok elleni kémtámadásokból állnak. A megcélzott vállalatok több különböző ipari szektorból származnak, beleértve a kormányzatot, a távközlést és az IT-t. Különösen érdekes az Afganisztánra való összpontosítás, ha figyelembe vesszük a közelmúltban ott lezajlott nagy eseményeket, mint például az Egyesült Államok azon döntését, hogy kivonja hadseregét, miután két évtizeden át jelen volt az országban.

Bár jelenleg nem áll rendelkezésre elegendő adat a Harvester tevékenységét támogató nemzetállam pontos meghatározásához, bizonyos bizonyítékok, mint például a csoport támadásai nem anyagi indíttatásúak és számos, egyedi tervezésű fenyegetőeszköz használata arra utal, hogy államról van szó. - határozottan szponzorált kiberbűnözés elleni felszerelés.

Az Arsenalt fenyegetve

A Harvester APT egyéni rosszindulatú programok és nyilvánosan elérhető eszközök keverékét alkalmazza, hogy hátsó ajtót hozzon létre a kompromittált gépeken, majd információkat szívjon ki róluk. A kezdeti támadási vektor, amelyen keresztül a támadók megveszik a lábukat a megcélzott szervezeten belül, továbbra sem ismert. A hackerek tevékenysége azonban ezt követően elég egyértelmű volt.

Először is telepítenek egy egyéni letöltőt a feltört rendszerre. A rosszindulatú program ezután továbbítja a következő szintű hasznos terhelést – egy Backdoor.Graphon nevű egyedi hátsó ajtó fenyegetést. A Harvester támadásainak részeként további hasznos terheket is felfedeztek. Ezek közé tartozik az egyéni képernyőkép-fogó, a Cobalt Strike Beacon eszköz, amellyel gyakran visszaélnek a kiberbűnözők, és a Metasploit, egy moduláris keretrendszer, amely számos tolakodó célra használható.

A támadás részletei

A telepített fenyegetések kombinációjával a Harvester különféle káros műveleteket hajthat végre. Képes fényképeket készíteni a rendszer képernyőjéről, amelyeket ezután egy jelszóval védett ZIP fájlban tárol. A fájl ezután kiszivárog a művelet Command-and-Control (C2, C&C) infrastruktúrájába. A Cobalt Strike Beacon segítségével a kiberbűnözők tetszőleges parancsokat hajthatnak végre, manipulálhatják a fájlrendszert, gyűjthetnek fájlokat, elindíthatnak vagy leállíthatnak folyamatokat és így tovább.

Másrészt a Metasploit lehetővé teszi számukra a jogosultságok kiszélesítését, perzisztencia mechanizmus létrehozását a hátsó ajtókhoz, képernyőrögzítést stb. A telepített fenyegetések és a C2 szerverek közötti kommunikáció elrejtésére a Harvesterek megpróbálják keverni a rendellenes kimenő forgalmat a a feltört szervezet normál hálózati forgalmát a legitim CloudFront és a Microsoft infrastruktúra kihasználásával.