Харвестер АПТ

Детаљи о претходно непознатој групи АПТ (Адванцед Персистент Тхреат) откривени су у новом извештају истраживача претњи. Хакерска група се прати као Харвестер, а њене откривене претеће операције се састоје од шпијунских напада на мете у Јужној Азији, углавном у Авганистану. Циљане корпорације потичу из неколико различитих индустријских сектора, укључујући владу, телекомуникације и ИТ. Посебно је интересантан фокус на Авганистан, имајући у виду недавне крупне догађаје који су се тамо одиграли, као што је одлука САД да повуче своју војску након што су две деценије биле присутне у земљи.

Иако у овом тренутку нема довољно података да би се тачно одредила национална држава која подржава Харвестерове активности, одређени докази као што су напади групе нису финансијски мотивисани и употреба неколико прилагођених претећих алата указују на то да је то држава. -спонзорисана организација за сајбер криминал дефинитивно.

Пријетећи Арсеналу

Харвестер АПТ користи мешавину прилагођеног малвера и јавно доступних алата за креирање бацкдоор-а на компромитованим машинама, а затим извлачење информација из њих. Почетни вектор напада кроз који нападачи успостављају упориште унутар циљане организације остаје непознат. Међутим, активности хакера након тога биле су прилично јасне.

Прво, постављају прилагођени програм за преузимање на оштећени систем. Злонамерни софтвер затим испоручује корисни терет следеће фазе – прилагођену бацкдоор претњу под називом Бацкдоор.Грапхон . Додатни терети су такође откривени као део Харвестерових напада. Ово укључује прилагођени хватач снимака екрана, алатку Цобалт Стрике Беацон, коју обично злоупотребљавају сајбер криминалци, и Метасплоит, модуларни оквир који се може користити у бројне наметљиве сврхе.

Детаљи напада

Комбинацијом распоређених претњи, Харвестер може да изврши разне штетне радње. Може да сними фотографије екрана система које се затим чувају у ЗИП датотеци заштићеној лозинком. Датотека се затим ексфилтрира у инфраструктуру за команду и контролу (Ц2, Ц&Ц) операције. Преко Цобалт Стрике Беацон-а, сајбер криминалци могу да извршавају произвољне команде, манипулишу датотечним системом, прикупљају датотеке, покрећу или прекидају процесе и још много тога.

С друге стране, Метасплоит им омогућава да остваре повећање привилегија, подесе механизам постојаности за њихов бацкдоор, снимање екрана, итд. Да би сакрили комуникацију између постављених претњи и Ц2 сервера, Харвестерс покушавају да споје ненормалан одлазни саобраћај са нормалан мрежни саобраћај угрожене организације коришћењем легитимне ЦлоудФронт и Мицрософт инфраструктуре.