Harvester APT

Detaje rreth një grupi të panjohur më parë APT (Kërcënimi i Përparuar i Përparuar) janë zbuluar në një raport të ri nga studiuesit e kërcënimeve. Grupi i hakerëve gjurmohet si Harvester dhe operacionet e tij kërcënuese të zbuluara konsistojnë në sulme spiunazhi kundër objektivave në Azinë Jugore, kryesisht në Afganistan. Korporatat e synuara rrjedhin nga disa sektorë të ndryshëm të industrisë, duke përfshirë qeverinë, telekomunikacionin dhe IT. Fokusi në Afganistan është veçanërisht interesant, duke pasur parasysh ngjarjet e fundit të mëdha që ndodhën atje, si vendimi i SHBA-së për të tërhequr ushtrinë e saj pas mbajtjes së pranisë në vend për dy dekada.

Edhe pse për momentin nuk ka të dhëna të mjaftueshme për të përcaktuar saktë shtetin-komb që po mbështet aktivitetet e Harvester, disa prova të tilla si sulmet e grupit që nuk janë të motivuara financiarisht dhe përdorimi i disa mjeteve kërcënuese të krijuara me porosi tregojnë se ai është një shtet. -veshje e sponsorizuar për krimin kibernetik patjetër.

Kërcënues për Arsenalin

Harvester APT përdor një përzierje malware të personalizuar dhe mjete të disponueshme publikisht për të krijuar një derë të pasme në makinat e komprometuara dhe më pas për të marrë informacion prej tyre. Vektori fillestar i sulmit përmes të cilit sulmuesit vendosin një terren brenda organizatës së synuar mbetet i panjohur. Megjithatë, aktivitetet e hakerëve pas kësaj kanë qenë mjaft të qarta.

Së pari, ata vendosin një shkarkues të personalizuar në sistemin e shkelur. Malware më pas jep ngarkesën e fazës tjetër - një kërcënim i personalizuar nga prapavija e quajtur Backdoor.Graphon . Ngarkesa shtesë janë zbuluar gjithashtu si pjesë e sulmeve të Harvester. Këto përfshijnë një kapës të personalizuar të pamjes së ekranit, mjetin Cobalt Strike Beacon, i keqpërdorur zakonisht nga kriminelët kibernetikë dhe Metasploit, një kornizë modulare që mund të përdoret për qëllime të shumta ndërhyrëse.

Detajet e sulmit

Nëpërmjet kombinimit të kërcënimeve të vendosura, Harvester mund të kryejë veprime të ndryshme të dëmshme. Mund të regjistrojë foto të ekranit të sistemit që më pas ruhen në një skedar ZIP të mbrojtur me fjalëkalim. Skedari më pas ekzfilohet në infrastrukturën e komandës dhe kontrollit (C2, C&C) të operacionit. Nëpërmjet Cobalt Strike Beacon, kriminelët kibernetikë mund të ekzekutojnë komanda arbitrare, të manipulojnë sistemin e skedarëve, të mbledhin skedarë, të fillojnë ose të përfundojnë proceset dhe më shumë.

Nga ana tjetër, Metasploit u lejon atyre të arrijnë përshkallëzimin e privilegjit, të konfigurojnë një mekanizëm të qëndrueshmërisë për derën e pasme, kapjen e ekranit, etj. Për të fshehur komunikimin midis kërcënimeve të vendosura dhe serverëve C2, Harvesters përpiqen të përziejnë trafikun anormal në dalje me trafiku normal i rrjetit të organizatës së komprometuar duke shfrytëzuar infrastrukturën legjitime të CloudFront dhe Microsoft.