Kombajn APT

Podrobnosti o prej neznani skupini APT (Advanced Persistent Threat) so bile razkrite v novem poročilu raziskovalcev groženj. Hekersko skupino spremljajo kot Harvester, njene zaznane grozeče operacije pa vključujejo vohunske napade na tarče v južni Aziji, predvsem v Afganistanu. Ciljne družbe izvirajo iz več različnih industrijskih sektorjev, vključno z vlado, telekomunikacijami in IT. Zanimiva je predvsem osredotočenost na Afganistan, če upoštevamo nedavne pomembne dogodke, ki so se tam zgodili, kot je odločitev ZDA, da umakne svojo vojsko, potem ko je bila v državi prisotna že dve desetletji.

Čeprav trenutno ni dovolj podatkov za natančno določitev nacionalne države, ki podpira Harvesterjeve dejavnosti, nekateri dokazi, kot so napadi skupine, ki niso bili finančno motivirani, in uporaba več orodij, izdelanih po meri, kažejo, da je to država. -sponzorirana obleka za kibernetski kriminal.

Grozi Arsenalu

Harvester APT uporablja mešanico zlonamerne programske opreme po meri in javno dostopnih orodij za ustvarjanje zalednih vrat na ogroženih strojih in nato črpanje informacij iz njih. Začetni vektor napada, s katerim napadalci vzpostavijo oporišče znotraj ciljne organizacije, ostaja neznan. Vendar so bile aktivnosti hekerjev po tem precej jasne.

Najprej na okvarjeni sistem namestijo prenosnik po meri. Zlonamerna programska oprema nato dostavi koristno obremenitev naslednje stopnje – grožnjo zalednih vrat po meri z imenom Backdoor.Graphon. Kot del Harvesterjevih napadov so odkrili tudi dodatne tovore. Ti vključujejo grabilec posnetkov zaslona po meri, orodje Cobalt Strike Beacon, ki ga kibernetski kriminalci pogosto zlorabljajo, in Metasploit, modularni okvir, ki se lahko uporablja za številne vsiljive namene.

Podrobnosti o napadu

S kombinacijo razporejenih groženj lahko Harvester izvaja različna škodljiva dejanja. Lahko zajame fotografije zaslona sistema, ki se nato shranijo v datoteko ZIP, zaščiteno z geslom. Datoteka se nato ekstrahira v infrastrukturo za upravljanje in nadzor (C2, C&C) operacije. Prek Cobalt Strike Beacon lahko kibernetski kriminalci izvajajo poljubne ukaze, manipulirajo z datotečnim sistemom, zbirajo datoteke, zaženejo ali končajo procese in še več.

Po drugi strani pa jim Metasploit omogoča, da dosežejo stopnjevanje privilegijev, nastavijo obstojni mehanizem za njihova zaledna vrata, zajem zaslona itd. normalen omrežni promet ogrožene organizacije z izkoriščanjem zakonite infrastrukture CloudFront in Microsoft.