Harvester APT

Detalii despre un grup APT (Advanced Persistent Threat) necunoscut anterior au fost dezvăluite într-un nou raport al cercetătorilor amenințărilor. Grupul de hackeri este urmărit ca Harvester, iar operațiunile sale amenințătoare detectate constau în atacuri de spionaj împotriva țintelor din Asia de Sud, în principal în Afganistan. Corporațiile vizate provin din mai multe sectoare industriale diferite, inclusiv guvern, telecomunicații și IT. Accentul pe Afganistan, în special, este interesant, având în vedere evenimentele majore recente care au avut loc acolo, precum decizia SUA de a-și retrage armata după ce a menținut prezența în țară timp de două decenii.

Deși în acest moment nu există suficiente date pentru a identifica statul național exact care susține activitățile lui Harvester, anumite dovezi, cum ar fi atacurile grupului, care nu sunt motivate financiar și utilizarea mai multor instrumente de amenințare personalizate indică faptul că acesta este un stat. -sponsorizat ținuta de criminalitate cibernetică cu siguranță.

Amenințarea Arsenalului

Harvester APT folosește o combinație de programe malware personalizate și instrumente disponibile public pentru a crea o ușă în spate pe mașinile compromise și apoi a prelua informațiile din acestea. Vectorul de atac inițial prin care atacatorii își stabilesc un punct de sprijin în interiorul organizației vizate rămâne necunoscut. Cu toate acestea, activitățile hackerilor după aceea au fost destul de clare.

În primul rând, implementează un program de descărcare personalizat pe sistemul încălcat. Malware-ul oferă apoi sarcina utilă din următoarea etapă - o amenințare personalizată de tip backdoor numită Backdoor.Graphon . Au fost descoperite și încărcături utile suplimentare ca parte a atacurilor lui Harvester. Acestea includ o captură de ecran personalizată, instrumentul Cobalt Strike Beacon, frecvent abuzat de infractorii cibernetici, și Metasploit, un cadru modular care poate fi folosit în numeroase scopuri intruzive.

Detalii despre atac

Prin combinația de amenințări implementate, Harvester poate efectua diverse acțiuni dăunătoare. Poate captura fotografii ale ecranului sistemului care sunt apoi stocate într-un fișier ZIP protejat prin parolă. Fișierul este apoi exfiltrat în infrastructura de comandă și control (C2, C&C) a operațiunii. Prin intermediul Cobalt Strike Beacon, infractorii cibernetici pot executa comenzi arbitrare, manipula sistemul de fișiere, colectează fișiere, pornește sau încheia procese și multe altele.

Pe de altă parte, Metasploit le permite să obțină escaladarea privilegiilor, să stabilească un mecanism de persistență pentru ușa lor din spate, captură de ecran etc. Pentru a ascunde comunicarea dintre amenințările implementate și serverele C2, Harveters încearcă să amestece traficul anormal de ieșire cu traficul de rețea normal al organizației compromise prin valorificarea infrastructurii CloudFront și Microsoft legitime.