Kombajn APT

Podrobnosti o predtým neznámej skupine APT (Advanced Persistent Threat) odhalila nová správa výskumníkov hrozieb. Skupina hackerov je sledovaná ako Harvester a jej odhalené ohrozujúce operácie pozostávajú zo špionážnych útokov proti cieľom v južnej Ázii, najmä v Afganistane. Cieľové spoločnosti pochádzajú z niekoľkých rôznych priemyselných sektorov vrátane vlády, telekomunikácií a IT. Zameranie sa na Afganistan je zaujímavé najmä vzhľadom na nedávne veľké udalosti, ktoré sa tam odohrali, ako napríklad rozhodnutie USA stiahnuť svoju armádu po tom, čo v krajine zostali dve desaťročia.

Hoci v súčasnosti nie je dostatok údajov na určenie presného národného štátu, ktorý podporuje aktivity Harvesteru, určité dôkazy, ako napríklad, že útoky skupiny nie sú finančne motivované a použitie niekoľkých na mieru vytvorených nástrojov vyhrážania sa ukazuje, že ide o štát. - určite sponzorovaný tím pre počítačovú kriminalitu.

Hrozba Arsenalu

Harvester APT využíva kombináciu vlastného malvéru a verejne dostupných nástrojov na vytvorenie zadných vrátok na napadnutých počítačoch a následne z nich vysáva informácie. Počiatočný vektor útoku, prostredníctvom ktorého si útočníci vytvoria oporu vo vnútri cieľovej organizácie, zostáva neznámy. Činnosti hackerov po tom však boli celkom jasné.

Najprv nasadia vlastný downloader na narušený systém. Malvér potom prináša ďalšiu fázu užitočného zaťaženia – vlastnú hrozbu backdoor s názvom Backdoor.Graphon . V rámci Harvesterových útokov boli objavené aj ďalšie užitočné zaťaženia. Patrí medzi ne vlastný nástroj na zachytávanie snímok obrazovky, nástroj Cobalt Strike Beacon, ktorý počítačoví zločinci bežne zneužívajú, a Metasploit, modulárny rámec, ktorý možno použiť na mnohé rušivé účely.

Podrobnosti o útoku

Prostredníctvom kombinácie nasadených hrozieb môže Harvester vykonávať rôzne škodlivé akcie. Dokáže zachytiť fotografie obrazovky systému, ktoré sa potom uložia do súboru ZIP, ktorý je chránený heslom. Súbor je potom exfiltrovaný do infraštruktúry velenia a riadenia (C2, C&C) operácie. Prostredníctvom Cobalt Strike Beacon môžu kyberzločinci vykonávať ľubovoľné príkazy, manipulovať so súborovým systémom, zbierať súbory, spúšťať alebo ukončovať procesy a ďalšie.

Na druhej strane, Metasploit im umožňuje dosiahnuť eskaláciu privilégií, nastaviť mechanizmus perzistencie pre ich zadné vrátka, snímanie obrazovky atď. Aby skryli komunikáciu medzi nasadenými hrozbami a servermi C2, Harvesters sa pokúšajú spojiť abnormálnu odchádzajúcu prevádzku s normálna sieťová prevádzka ohrozenej organizácie využívaním legitímnej infraštruktúry CloudFront a Microsoftu.