Graphon Backdoor

La Graphon Backdoor è una minaccia backdoor personalizzata che viene distribuita come parte delle attività minacciose di un gruppo APT (Advanced Persistent Threat) appena scoperto chiamato Harvester. Gli hacker sembrano essere concentrati sulla conduzione di campagne di attacco di spionaggio contro obiettivi situati nell'Asia meridionale, in particolare in Afghanistan. Le vittime rilevate operano in diversi settori, tra cui IT, governo e telecomunicazioni. Per ora, non è immediatamente chiaro quale stato-nazione stia sostenendo le attività minacciose di Harvester.

Dettagli Graphon

La Graphon Backdoor viene consegnata ai sistemi compromessi da un'altra minaccia personalizzata che funge da downloader. La backdoor viene compilata come file DLL .NET PE. Il file danneggiato viene rilasciato nel seguente percorso:

D:\OfficeProjects\Aggiornato Funzionante per Invio\4.5\Outlook_4.5\Outlook 4.5.2 32 bit Nuovo senza presidenza\NPServices\bin\x86\Debug\NPServices[.]pdb

Graphon tenta di stabilire una connessione con i suoi server Command-and-Control (C2, C&C). Gli hacker ospitano l'infrastruttura C2 della backdoor sull'infrastruttura Microsoft per mascherare il traffico in uscita sospetto. Una volta implementato completamente, Graphon inizierà a ottenere dati specifici, che verranno quindi crittografati ed esfiltrati ai server dell'attaccante.