Комбайн APT

Подробности о ранее неизвестной группе APT (Advanced Persistent Threat) были раскрыты в новом отчете исследователей угроз. Хакерская группа отслеживается как Harvester, и обнаруженные ею угрожающие операции состоят из шпионских атак против целей в Южной Азии, в основном в Афганистане. Целевые корпорации происходят из нескольких различных секторов промышленности, включая правительство, телекоммуникации и ИТ. В частности, внимание к Афганистану представляет интерес, учитывая недавние важные события, которые там произошли, такие как решение США вывести свою армию после сохранения присутствия в стране в течение двух десятилетий.

Хотя на данный момент недостаточно данных, чтобы точно определить национальное государство, которое поддерживает деятельность Harvester, определенные свидетельства, такие как атака группы, не имеющая финансовой мотивации и использование нескольких специально созданных угрожающих инструментов, указывают на то, что это государство - определенно спонсируемая киберпреступная организация.

Угрожающий арсенал

APT Harvester использует сочетание настраиваемых вредоносных программ и общедоступных инструментов для создания бэкдора на скомпрометированных машинах и последующего перекачивания информации с них. Первоначальный вектор атаки, с помощью которого злоумышленники закрепляются внутри целевой организации, остается неизвестным. Однако действия хакеров после этого были довольно ясны.

Во-первых, они развертывают пользовательский загрузчик в взломанной системе. Затем вредоносная программа доставляет полезную нагрузку следующего уровня - настраиваемую бэкдор-угрозу под названием Backdoor.Graphon . Дополнительные полезные нагрузки также были обнаружены как часть атак Харвестера. К ним относятся настраиваемый инструмент для захвата снимков экрана, инструмент Cobalt Strike Beacon, которым часто злоупотребляют киберпреступники, и Metasploit, модульная структура, которую можно использовать для множества навязчивых целей.

Детали атаки

Благодаря сочетанию развернутых угроз Harvester может выполнять различные вредоносные действия. Он может делать снимки экрана системы, которые затем сохраняются в защищенном паролем ZIP-файле. Затем файл передается в инфраструктуру Command-and-Control (C2, C&C) операции. С помощью Cobalt Strike Beacon киберпреступники могут выполнять произвольные команды, манипулировать файловой системой, собирать файлы, запускать или завершать процессы и многое другое.

С другой стороны, Metasploit позволяет им достичь повышения привилегий, настроить механизм сохранения для своего бэкдора, захвата экрана и т. Д. Чтобы скрыть связь между развернутыми угрозами и серверами C2, Harvesters пытается смешать аномальный исходящий трафик с нормальный сетевой трафик скомпрометированной организации за счет использования законной инфраструктуры CloudFront и Microsoft.

В тренде

Наиболее просматриваемые

Загрузка...