Harvester APT

Szczegóły dotyczące wcześniej nieznanej grupy APT (Advanced Persistent Threat) zostały ujawnione w nowym raporcie opracowanym przez badaczy zagrożeń. Grupa hakerów jest śledzona jako Harvester, a jej wykryte groźne operacje polegają na atakach szpiegowskich na cele w Azji Południowej, głównie w Afganistanie. Docelowe korporacje wywodzą się z kilku różnych sektorów przemysłu, w tym rządu, telekomunikacji i IT. Szczególnie interesujące jest skupienie się na Afganistanie, zważywszy na ostatnie ważne wydarzenia, które tam miały miejsce, takie jak decyzja USA o wycofaniu armii po dwóch dekadach obecności w tym kraju.

Chociaż w tej chwili nie ma wystarczających danych, aby dokładnie określić państwo narodowe, które wspiera działalność Harvester, pewne dowody, takie jak brak motywacji finansowej ataków grupy i użycie kilku niestandardowych narzędzi do grożenia, wskazują na to, że jest to państwo - zdecydowanie sponsorowany strój do cyberprzestępczości.

Grożący Arsenał

Harvester APT wykorzystuje mieszankę niestandardowego złośliwego oprogramowania i publicznie dostępnych narzędzi do tworzenia backdoora na zaatakowanych maszynach, a następnie pobierania z nich informacji. Początkowy wektor ataku, za pomocą którego napastnicy zdobywają przyczółek wewnątrz atakowanej organizacji, pozostaje nieznany. Jednak działania hakerów po tym były dość jasne.

Najpierw wdrażają niestandardowy program do pobierania w złamanym systemie. Następnie złośliwe oprogramowanie dostarcza ładunek następnego etapu — niestandardowe zagrożenie typu backdoor o nazwie Backdoor.Graphon. W ramach ataków Harvester odkryto również dodatkowe ładunki. Należą do nich niestandardowy program do przechwytywania zrzutów ekranu, narzędzie Cobalt Strike Beacon, powszechnie wykorzystywane przez cyberprzestępców, oraz Metasploit, modułowa platforma, która może być wykorzystywana do wielu inwazyjnych celów.

Szczegóły ataku

Dzięki połączeniu wdrożonych zagrożeń Harvester może wykonywać różne szkodliwe działania. Może przechwytywać zdjęcia ekranu systemu, które są następnie przechowywane w chronionym hasłem pliku ZIP. Plik jest następnie eksportowany do infrastruktury Command-and-Control (C2, C&C) operacji. Za pomocą Cobalt Strike Beacon cyberprzestępcy mogą wykonywać dowolne polecenia, manipulować systemem plików, zbierać pliki, uruchamiać lub kończyć procesy i nie tylko.

Z drugiej strony Metasploit pozwala im na eskalację uprawnień, skonfigurowanie mechanizmu utrwalania backdoora, przechwytywania ekranu itp. Aby ukryć komunikację między wdrożonymi zagrożeniami a serwerami C2, Harvestery próbują połączyć nienormalny ruch wychodzący z normalny ruch sieciowy zaatakowanej organizacji dzięki wykorzystaniu legalnej infrastruktury CloudFront i Microsoft.