수확기 APT

이전에 알려지지 않은 APT(Advanced Persistent Threat) 그룹에 대한 세부 정보가 위협 연구원의 새로운 보고서에서 공개되었습니다. 해커 그룹은 Harvester로 추적되며, 탐지된 위협 활동은 남아시아, 주로 아프가니스탄의 목표물에 대한 스파이 공격으로 구성됩니다. 대상 기업은 정부, 통신 및 IT를 포함한 여러 산업 부문에서 유래합니다. 특히 아프가니스탄에 대한 초점은 20년 동안 아프가니스탄에 주둔한 미군의 철수 결정과 같은 최근 주요 사건을 염두에 두고 있어 흥미롭습니다.

현재로서는 Harvester의 활동을 지원하는 정확한 국민 국가를 정확히 찾아낼 수 있는 데이터가 충분하지 않지만, 그룹의 공격이 재정적으로 동기가 부여되지 않았으며 몇 가지 맞춤형 위협 도구의 사용과 같은 특정 증거는 Harvester가 국가임을 시사합니다. - 후원하는 사이버 범죄 복장 확실히.

위협적인 아스날

Harvester APT는 맞춤형 맬웨어와 공개적으로 사용 가능한 도구를 혼합하여 사용하여 손상된 시스템에 백도어를 만든 다음 해당 시스템에서 정보를 빼냅니다. 공격자가 표적 조직 내부에 거점을 구축하는 초기 공격 벡터는 아직 알려지지 않았습니다. 그러나 이후 해커의 활동은 매우 분명합니다.

첫째, 침해된 시스템에 맞춤형 다운로더를 배포합니다. 그런 다음 멀웨어는 Backdoor.Graphon 이라는 사용자 지정 백도어 위협인 다음 단계 페이로드를 전달합니다. Harvester 공격의 일환으로 추가 페이로드도 발견되었습니다. 여기에는 사용자 지정 스크린샷 그래버, 사이버 범죄자가 일반적으로 남용하는 Cobalt Strike Beacon 도구 및 수많은 침입 목적으로 사용할 수 있는 모듈식 프레임워크인 Metasploit이 포함됩니다.

공격 세부 정보

배치된 위협의 조합을 통해 Harvester는 다양한 유해한 작업을 수행할 수 있습니다. 암호로 보호되는 ZIP 파일에 저장되는 시스템 화면의 사진을 캡처할 수 있습니다. 그런 다음 파일은 작업의 명령 및 제어(C2, C&C) 인프라로 유출됩니다. 사이버 범죄자는 Cobalt Strike Beacon을 통해 임의의 명령을 실행하고, 파일 시스템을 조작하고, 파일을 수집하고, 프로세스를 시작 또는 종료하는 등의 작업을 수행할 수 있습니다.

반면에 Metasploit을 사용하면 권한 상승을 달성하고 백도어, 화면 캡처 등에 대한 지속성 메커니즘을 설정할 수 있습니다. 배포된 위협과 C2 서버 간의 통신을 숨기기 위해 Harvester는 비정상적인 나가는 트래픽을 합법적인 CloudFront 및 Microsoft 인프라를 활용하여 손상된 조직의 정상적인 네트워크 트래픽을 차단합니다.