Harvester APT

I dettagli su un gruppo APT (Advanced Persistent Threat) precedentemente sconosciuto sono stati rivelati in un nuovo rapporto dai ricercatori sulle minacce. Il gruppo di hacker è tracciato come Harvester e le sue operazioni minacciose rilevate consistono in attacchi di spionaggio contro obiettivi nell'Asia meridionale, principalmente in Afghanistan. Le società mirate provengono da diversi settori industriali, tra cui governo, telecomunicazioni e IT. Il focus sull'Afghanistan, in particolare, è interessante, alla luce dei recenti grandi eventi accaduti lì, come la decisione degli Stati Uniti di ritirare il proprio esercito dopo aver mantenuto una presenza nel Paese per due decenni.

Sebbene al momento non ci siano dati sufficienti per individuare l'esatto stato-nazione che sostiene le attività di Harvester, alcune prove come gli attacchi del gruppo non sono motivati finanziariamente e l'uso di diversi strumenti minacciosi personalizzati indicano che si tratta di uno stato -sponsorizzato sicuramente il cybercrime.

Arsenale minaccioso

L'APT Harvester utilizza un mix di malware personalizzato e strumenti disponibili pubblicamente per creare una backdoor sulle macchine compromesse e quindi sottrarre informazioni da esse. Il vettore di attacco iniziale attraverso il quale gli aggressori stabiliscono un punto d'appoggio all'interno dell'organizzazione mirata rimane sconosciuto. Tuttavia, le attività degli hacker in seguito sono state abbastanza chiare.

Innanzitutto, distribuiscono un downloader personalizzato sul sistema violato. Il malware fornisce quindi il payload della fase successiva: una minaccia backdoor personalizzata denominata Backdoor.Graphon. Sono stati scoperti anche payload aggiuntivi come parte degli attacchi di Harvester. Questi includono uno screenshot personalizzato, lo strumento Cobalt Strike Beacon, comunemente abusato dai criminali informatici e Metasploit, un framework modulare che può essere utilizzato per numerosi scopi intrusivi.

Dettagli attacco

Attraverso la combinazione di minacce distribuite, Harvester può eseguire varie azioni dannose. Può catturare foto dello schermo del sistema che vengono poi archiviate in un file ZIP protetto da password. Il file viene quindi esfiltrato nell'infrastruttura Command-and-Control (C2, C&C) dell'operazione. Tramite il Cobalt Strike Beacon, i criminali informatici possono eseguire comandi arbitrari, manipolare il file system, raccogliere file, avviare o terminare processi e altro ancora.

D'altra parte, Metasploit consente loro di ottenere l'escalation dei privilegi, impostare un meccanismo di persistenza per la loro backdoor, acquisizione dello schermo, ecc. Per nascondere la comunicazione tra le minacce distribuite e i server C2, Harvester tenta di fondere il traffico in uscita anomalo con il normale traffico di rete dell'organizzazione compromessa sfruttando l'infrastruttura legittima di CloudFront e Microsoft.