Harvesteris APT

Sīkāka informācija par iepriekš nezināmu APT (Advanced Persistent Threat) grupu ir atklāta jaunā draudu pētnieku ziņojumā. Hakeru grupa tiek izsekota kā Harvester, un tās atklātās draudu operācijas sastāv no spiegošanas uzbrukumiem mērķiem Dienvidāzijā, galvenokārt Afganistānā. Mērķa korporācijas nāk no vairākām dažādām rūpniecības nozarēm, tostarp valdības, telekomunikāciju un IT. Īpaši interesants ir fokuss uz Afganistānu, ņemot vērā nesenos lielos notikumus, kas tur risinājās, piemēram, ASV lēmumu izvest savu armiju pēc tam, kad valstī bija palikusi divas desmitgades.

Lai gan pašlaik nav pietiekami daudz datu, lai precīzi noteiktu nacionālo valsti, kas atbalsta Harvester aktivitātes, daži pierādījumi, piemēram, grupējuma uzbrukumi nav finansiāli motivēti un vairāku īpaši izstrādātu draudu rīku izmantošana liecina, ka tā ir valsts. -noteikti sponsorēts kibernoziedzības apģērbs.

Draudošs Arsenāls

Harvester APT izmanto dažādas pielāgotas ļaunprātīgas programmatūras un publiski pieejamus rīkus, lai izveidotu aizmugures durvis apdraudētajām iekārtām un pēc tam izsūktu informāciju no tām. Sākotnējais uzbrukuma vektors, caur kuru uzbrucēji nostiprina stabilitāti mērķa organizācijā, joprojām nav zināms. Tomēr hakeru darbības pēc tam ir bijušas diezgan skaidras.

Pirmkārt, viņi uzlauztajā sistēmā izvieto pielāgotu lejupielādētāju. Ļaunprātīga programmatūra pēc tam piegādā nākamās pakāpes lietderīgo slodzi — pielāgotu aizmugures durvju draudu ar nosaukumu Backdoor.Graphon . Kā daļa no Harvester uzbrukumiem ir atklātas arī papildu kravas. Tie ietver pielāgotu ekrānuzņēmumu uztvērēju, rīku Cobalt Strike Beacon, ko parasti ļaunprātīgi izmanto kibernoziedznieki, un Metasploit — modulāru sistēmu, ko var izmantot daudziem uzmācīgiem mērķiem.

Uzbrukuma detaļas

Izmantojot izvietoto draudu kombināciju, Harvester var veikt dažādas kaitīgas darbības. Tas var uzņemt sistēmas ekrāna fotoattēlus, kas pēc tam tiek saglabāti ar paroli aizsargātā ZIP failā. Pēc tam fails tiek izfiltrēts operācijas Command-and-Control (C2, C&C) infrastruktūrā. Izmantojot Cobalt Strike Beacon, kibernoziedznieki var izpildīt patvaļīgas komandas, manipulēt ar failu sistēmu, vākt failus, sākt vai pārtraukt procesus un daudz ko citu.

No otras puses, Metasploit ļauj viņiem panākt privilēģiju eskalāciju, iestatīt noturības mehānismu aizmugures durvīm, ekrāna tveršanu utt. Lai slēptu saziņu starp izvietotajiem draudiem un C2 serveriem, Harvesters mēģina apvienot neparasto izejošo trafiku ar normālu apdraudētās organizācijas tīkla trafiku, izmantojot likumīgu CloudFront un Microsoft infrastruktūru.