Graphon Backdoor

De Graphon Backdoor is een op maat gemaakte backdoor-bedreiging die wordt ingezet als onderdeel van de bedreigende activiteiten van een nieuw ontdekte APT-groep (Advanced Persistent Threat) genaamd Harvester. De hackers lijken gericht te zijn op het uitvoeren van spionagecampagnes tegen doelen in Zuid-Azië, met name in Afghanistan. De gedetecteerde slachtoffers zijn actief in verschillende sectoren, waaronder IT, overheid en telecommunicatie. Voorlopig is het niet meteen duidelijk welke natiestaat de dreigende activiteiten van Harvester steunt.

Graphon-details

De Graphon Backdoor wordt aan de gecompromitteerde systemen geleverd door een andere op maat gemaakte bedreiging die als downloader fungeert. De achterdeur is gecompileerd als .NET PE DLL-bestand. Het beschadigde bestand wordt op de volgende locatie neergezet:

D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bit New without presistancy\NPServices\bin\x86\Debug\NPServices[.]pdb

Graphon probeert verbinding te maken met zijn Command-and-Control (C2, C&C) servers. De hackers hosten de C2-infrastructuur van de achterdeur op de Microsoft-infrastructuur om het verdachte uitgaande verkeer te maskeren. Wanneer het volledig is geïmplementeerd, zal Graphon beginnen met het verkrijgen van specifieke gegevens, die vervolgens worden versleuteld en geëxfiltreerd naar de servers van de aanvaller.