Harvester APT

Detaljer om en tidligere ukjent APT-gruppe (Advanced Persistent Threat) har blitt avslørt i en ny rapport fra trusselforskere. Hackergruppen spores som Harvester, og dens oppdagede truende operasjoner består av spionasjeangrep mot mål i Sør-Asia, hovedsakelig i Afghanistan. De målrettede selskapene stammer fra flere forskjellige industrisektorer, inkludert myndigheter, telekommunikasjon og IT. Fokuset på Afghanistan, spesielt, er interessant, med tanke på de siste store hendelsene som fant sted der, som USAs beslutning om å trekke hæren sin etter å ha opprettholdt en tilstedeværelse i landet i to tiår.

Selv om det for øyeblikket ikke er nok data til å finne den eksakte nasjonalstaten som støtter Harvesters aktiviteter, peker visse bevis som at gruppens angrep ikke er økonomisk motivert og bruken av flere spesialbygde truende verktøy mot at det er en stat -Sponset antrekk for nettkriminalitet definitivt.

Truende Arsenal

Harvester APT bruker en blanding av tilpasset skadelig programvare og offentlig tilgjengelige verktøy for å lage en bakdør på de kompromitterte maskinene og deretter hente informasjon fra dem. Den første angrepsvektoren som angriperne etablerer fotfeste i den målrettede organisasjonen gjennom, er fortsatt ukjent. Hackernes aktiviteter etter det har imidlertid vært ganske tydelige.

Først distribuerer de en tilpasset nedlaster på systemet som brytes. Skadevaren leverer deretter nyttelasten i neste trinn - en tilpasset bakdørstrussel kalt Backdoor.Graphon . Ytterligere nyttelast har også blitt oppdaget som en del av Harvesters angrep. Disse inkluderer en tilpasset skjermdump, Cobalt Strike Beacon-verktøyet, ofte misbrukt av nettkriminelle, og Metasploit, et modulært rammeverk som kan brukes til en rekke påtrengende formål.

Angrepsdetaljer

Gjennom kombinasjonen av utplasserte trusler kan Harvester utføre ulike skadelige handlinger. Den kan ta bilder av systemets skjerm som deretter lagres i en passordbeskyttet ZIP-fil. Filen blir deretter eksfiltrert til Command-and-Control (C2, C&C)-infrastrukturen til operasjonen. Via Cobalt Strike Beacon kan nettkriminelle utføre vilkårlige kommandoer, manipulere filsystemet, samle filer, starte eller avslutte prosesser og mer.

På den annen side lar Metasploit dem oppnå privilegieeskalering, sette opp en utholdenhetsmekanisme for bakdøren deres, skjermfangst osv. For å skjule kommunikasjonen mellom de utplasserte truslene og C2-serverne, forsøker Harvesters å blande den unormale utgående trafikken med normal nettverkstrafikk til den kompromitterte organisasjonen ved å utnytte legitim CloudFront- og Microsoft-infrastruktur.