Harvester APT

Detalhes sobre um grupo APT (Ameaça Persistente Avançada) até então desconhecido foram revelados em um novo relatório dos pesquisadores de ameaças. O grupo de hackers é rastreado como Harvester, e suas operações ameaçadoras detectadas consistem em ataques de espionagem contra alvos no sul da Ásia, principalmente no Afeganistão. As corporações visadas vêm de vários setores diferentes da indústria, incluindo governo, telecomunicações e TI. O enfoque no Afeganistão, em particular, é interessante, tendo em vista os grandes acontecimentos recentes que ali ocorreram, como a decisão dos Estados Unidos de retirar seu exército após manter presença no país por duas décadas.

Embora no momento não haja dados suficientes para identificar o estado-nação exato que está apoiando as atividades de Harvester, certas evidências, como os ataques do grupo não sendo financeiramente motivados e o uso de várias ferramentas ameaçadoras personalizadas apontam para que ele seja um estado - patrocinou definitivamente o equipamento de crimes cibernéticos.

O Arsenal Ameaçador

O Harvester APT emprega uma combinação de malware personalizado e ferramentas disponíveis publicamente para criar um backdoor nas máquinas comprometidas e, em seguida, desviar informações delas. O vetor de ataque inicial por meio do qual os invasores se estabelecem dentro da organização visada permanece desconhecido. No entanto, as atividades dos hackers depois disso ficaram bem claras.

Primeiro, eles implantam um downloader personalizado no sistema violado. O malware então entrega a carga útil do próximo estágio - uma ameaça de backdoor personalizada chamada Backdoor.Graphon. Cargas adicionais também foram descobertas como parte dos ataques de Harvester. Isso inclui um capturador de tela personalizado, a ferramenta Cobalt Strike Beacon, comumente usada por cibercriminosos, e o Metasploit, uma estrutura modular que pode ser usada para vários fins invasivos.

Detalhes do Ataque

Por meio da combinação de ameaças implantadas, o Harvester pode executar várias ações prejudiciais. Ele pode capturar fotos da tela do sistema que são armazenadas em um arquivo ZIP protegido por senha. O arquivo é então exfiltrado para a infraestrutura de comando e controle (C2, C&C) da operação. Por meio do Cobalt Strike Beacon, os cibercriminosos podem executar comandos arbitrários, manipular o sistema de arquivos, coletar arquivos, iniciar ou encerrar processos e muito mais.

Por outro lado, o Metasploit permite que eles alcancem o escalonamento de privilégios, configurem um mecanismo de persistência para seu backdoor, captura de tela, etc. Para ocultar a comunicação entre as ameaças implantadas e os servidores C2, os Harvesters tentam misturar o tráfego anormal de saída com o tráfego de rede normal da organização comprometida, aproveitando a infraestrutura legítima do CloudFront e da Microsoft.