Harvester APT

Detaljer om en tidigare okänd APT -grupp (Advanced Persistent Threat) har avslöjats i en ny rapport av hotforskare. Hackargruppen spåras som skördare och dess upptäckta hotfulla operationer består av spionattacker mot mål i Sydasien, främst i Afghanistan. De riktade företagen härrör från flera olika industrisektorer, inklusive myndigheter, telekommunikation och IT. Särskilt fokus på Afghanistan är intressant, med tanke på de senaste stora händelserna som ägde rum där, till exempel USA: s beslut att dra tillbaka sin armé efter att ha behållit sin närvaro i landet i två decennier.

Även om det för närvarande inte finns tillräckligt med data för att identifiera den exakta nationalstaten som stödjer Harvesters verksamhet, pekar vissa bevis som att gruppens attacker inte är ekonomiskt motiverade och användningen av flera specialbyggda hotande verktyg mot att det är en stat -sponsorerad cyberbrottsdräkt definitivt.

Hotande Arsenal

Harvester APT använder en blandning av anpassad skadlig kod och allmänt tillgängliga verktyg för att skapa en bakdörr på de komprometterade maskinerna och sedan häva information från dem. Den första attackvektorn genom vilken angriparna etablerar sig i den riktade organisationen är fortfarande okänd. Hackarnas verksamhet efter det har dock varit ganska tydlig.

Först distribuerar de en anpassad nedladdare på det kränkta systemet. Skadlig programvara levererar sedan nyttolast i nästa steg - ett anpassat hot om bakdörren som heter Backdoor.Graphon. Ytterligare nyttolaster har också upptäckts som en del av Harvester -attackerna. Dessa inkluderar en anpassad skärmdumpare, Cobalt Strike Beacon -verktyget, som vanligtvis missbrukas av cyberkriminella och Metasploit, ett modulärt ramverk som kan användas för många påträngande ändamål.

Attackdetaljer

Genom kombinationen av utplacerade hot kan Harvester utföra olika skadliga åtgärder. Det kan ta foton av systemets skärm som sedan lagras i en lösenordsskyddad ZIP-fil. Filen exfiltreras sedan till kommando-och-kontroll (C2, C&C) infrastruktur för operationen. Via Cobalt Strike Beacon kan cyberbrottslingar utföra godtyckliga kommandon, manipulera filsystemet, samla filer, starta eller avsluta processer med mera.

Å andra sidan tillåter Metasploit dem att uppnå privilegieupptrappning, inrätta en uthållighetsmekanism för deras bakdörr, skärmdump, etc. För att dölja kommunikationen mellan de utplacerade hoten och C2 -servrarna, försöker skördarna att blanda den onormala utgående trafiken med normal nätverkstrafik för den komprometterade organisationen genom att utnyttja legitim CloudFront- och Microsoft -infrastruktur.