Harvester APT

Details over een voorheen onbekende APT-groep (Advanced Persistent Threat) zijn onthuld in een nieuw rapport van dreigingsonderzoekers. De hackergroep wordt gevolgd als Harvester en de gedetecteerde dreigende operaties bestaan uit spionageaanvallen op doelen in Zuid-Azië, voornamelijk in Afghanistan. De beoogde bedrijven zijn afkomstig uit verschillende industriesectoren, waaronder de overheid, telecommunicatie en IT. Vooral de focus op Afghanistan is interessant, gelet op de recente grote gebeurtenissen die daar plaatsvonden, zoals het besluit van de VS om hun leger terug te trekken na twee decennia in het land aanwezig te zijn geweest.

Hoewel er op dit moment niet genoeg gegevens zijn om de exacte natiestaat te lokaliseren die de activiteiten van Harvester ondersteunt, wijzen bepaalde bewijzen, zoals de aanvallen van de groep die niet financieel gemotiveerd zijn en het gebruik van verschillende op maat gemaakte bedreigende tools erop dat het een staat is -gesponsorde cybercriminaliteit zeker.

Dreigend Arsenal

De Harvester APT maakt gebruik van een mix van aangepaste malware en openbaar beschikbare tools om een achterdeur op de besmette machines te creëren en vervolgens informatie ervan over te hevelen. De initiële aanvalsvector waarmee de aanvallers voet aan de grond krijgen binnen de beoogde organisatie, blijft onbekend. De activiteiten van de hackers daarna waren echter vrij duidelijk.

Eerst implementeren ze een aangepaste downloader op het gehackte systeem. De malware levert vervolgens de volgende stap: een aangepaste backdoor-bedreiging genaamd Backdoor.Graphon. Er zijn ook extra ladingen ontdekt als onderdeel van de aanvallen van Harvester. Deze omvatten een aangepaste screenshot-grabber, de Cobalt Strike Beacon-tool, die vaak wordt misbruikt door cybercriminelen, en Metasploit, een modulair raamwerk dat voor tal van intrusieve doeleinden kan worden gebruikt.

Aanvalsdetails

Door de combinatie van ingezette bedreigingen kan Harvester verschillende schadelijke acties uitvoeren. Het kan foto's maken van het systeemscherm die vervolgens worden opgeslagen in een met een wachtwoord beveiligd ZIP-bestand. Het bestand wordt vervolgens geëxfiltreerd naar de Command-and-Control (C2, C&C) infrastructuur van de operatie. Via het Cobalt Strike Beacon kunnen de cybercriminelen willekeurige opdrachten uitvoeren, het bestandssysteem manipuleren, bestanden verzamelen, processen starten of beëindigen en meer.

Aan de andere kant stelt Metasploit hen in staat om privilege-escalatie te bereiken, een persistentiemechanisme op te zetten voor hun achterdeur, schermopname, enz. Om de communicatie tussen de ingezette bedreigingen en de C2-servers te verbergen, proberen Harvesters het abnormale uitgaande verkeer te vermengen met de normaal netwerkverkeer van de gecompromitteerde organisatie door gebruik te maken van legitieme CloudFront- en Microsoft-infrastructuur.