APT penuai

Butiran mengenai kumpulan APT (Advanced Persistent Threat) yang tidak diketahui sebelum ini telah didedahkan dalam laporan baharu oleh penyelidik ancaman. Kumpulan penggodam itu dikesan sebagai Harvester, dan operasi mengancamnya yang dikesan terdiri daripada serangan pengintipan terhadap sasaran di Asia Selatan, terutamanya di Afghanistan. Syarikat yang disasarkan berpunca daripada beberapa sektor industri yang berbeza, termasuk kerajaan, telekomunikasi dan IT. Tumpuan terhadap Afghanistan, khususnya, adalah menarik, mengingati peristiwa besar baru-baru ini yang berlaku di sana, seperti keputusan AS untuk mengundurkan tenteranya selepas mengekalkan kehadiran di negara itu selama dua dekad.

Walaupun pada masa ini tidak terdapat data yang mencukupi untuk menentukan negara bangsa yang tepat yang menyokong aktiviti Harvester, bukti tertentu seperti serangan kumpulan itu tidak bermotifkan kewangan dan penggunaan beberapa alat mengancam yang dibina khas menunjukkan bahawa ia adalah sebuah negara. -pakaian jenayah siber yang ditaja pastinya.

Mengancam Arsenal

Harvester APT menggunakan gabungan perisian hasad tersuai dan alatan yang tersedia secara umum untuk membuat pintu belakang pada mesin yang terjejas dan kemudian menyedut maklumat daripadanya. Vektor serangan awal yang digunakan oleh penyerang untuk bertapak di dalam organisasi yang disasarkan masih tidak diketahui. Bagaimanapun, aktiviti penggodam selepas itu cukup jelas.

Pertama, mereka menggunakan pemuat turun tersuai pada sistem yang dilanggar. Malware kemudiannya menyampaikan muatan peringkat seterusnya - ancaman pintu belakang tersuai bernama Backdoor.Graphon . Muatan tambahan juga telah ditemui sebagai sebahagian daripada serangan Harvester. Ini termasuk perebut tangkapan skrin tersuai, alat Cobalt Strike Beacon, yang biasanya disalahgunakan oleh penjenayah siber, dan Metasploit, rangka kerja modular yang boleh digunakan untuk pelbagai tujuan mengganggu.

Butiran Serangan

Melalui gabungan ancaman yang digunakan, Harvester boleh melakukan pelbagai tindakan berbahaya. Ia boleh menangkap foto skrin sistem yang kemudiannya disimpan dalam fail ZIP yang melindungi kata laluan. Fail itu kemudiannya dieksfiltrasi ke infrastruktur Perintah-dan-Kawalan (C2, C&C) operasi. Melalui Cobalt Strike Beacon, penjenayah siber boleh melaksanakan arahan sewenang-wenangnya, memanipulasi sistem fail, mengumpul fail, memulakan atau menamatkan proses dan banyak lagi.

Sebaliknya, Metasploit membolehkan mereka mencapai peningkatan keistimewaan, menyediakan mekanisme kegigihan untuk pintu belakang mereka, tangkapan skrin, dll. Untuk menyembunyikan komunikasi antara ancaman yang digunakan dan pelayan C2, Harvesters cuba menggabungkan trafik keluar yang tidak normal dengan trafik rangkaian biasa bagi organisasi yang terjejas dengan memanfaatkan infrastruktur CloudFront dan Microsoft yang sah.