เครื่องเก็บเกี่ยวAPT
รายละเอียดเกี่ยวกับกลุ่ม APT (Advanced Persistent Threat) ที่ไม่รู้จักก่อนหน้านี้ได้รับการเปิดเผยในรายงานฉบับใหม่โดยนักวิจัยด้านภัยคุกคาม กลุ่มแฮ็กเกอร์ถูกติดตามในชื่อ Harvester และการดำเนินการคุกคามที่ตรวจพบประกอบด้วยการจารกรรมโจมตีเป้าหมายในเอเชียใต้ ส่วนใหญ่ในอัฟกานิสถาน บริษัทเป้าหมายเหล่านี้มาจากภาคอุตสาหกรรมต่างๆ รวมถึงภาครัฐ โทรคมนาคม และไอที โดยเฉพาะอย่างยิ่ง การให้ความสำคัญกับอัฟกานิสถานเป็นเรื่องที่น่าสนใจ โดยคำนึงถึงเหตุการณ์สำคัญๆ ที่เกิดขึ้นเมื่อเร็วๆ นี้ที่เกิดขึ้นที่นั่น เช่น การตัดสินใจของสหรัฐฯ ที่จะถอนกองทัพของตนหลังจากที่ยังคงแสดงตนในประเทศนี้มาเป็นเวลาสองทศวรรษ
แม้ว่าในขณะนี้จะมีข้อมูลไม่เพียงพอที่จะระบุรัฐชาติที่ให้การสนับสนุนกิจกรรมของ Harvester แต่หลักฐานบางอย่าง เช่น การโจมตีของกลุ่มที่ไม่ได้รับแรงจูงใจทางการเงิน และการใช้เครื่องมือคุกคามที่สร้างขึ้นเองหลายตัวชี้ไปที่ว่าเป็นรัฐ - สนับสนุนชุดอาชญากรรมไซเบอร์อย่างแน่นอน
อาร์เซนอลที่คุกคาม
Harvester APT ใช้มัลแวร์แบบกำหนดเองผสมกันและเครื่องมือที่เปิดเผยต่อสาธารณะเพื่อสร้างแบ็คดอร์บนเครื่องที่ถูกบุกรุก จากนั้นจึงดูดข้อมูลจากพวกมัน เวกเตอร์การโจมตีเริ่มต้นซึ่งผู้โจมตีตั้งหลักภายในองค์กรเป้าหมายยังไม่ทราบ อย่างไรก็ตาม กิจกรรมของแฮกเกอร์หลังจากนั้นค่อนข้างชัดเจน
ขั้นแรก พวกเขาปรับใช้โปรแกรมดาวน์โหลดแบบกำหนดเองบนระบบที่ถูกละเมิด จากนั้นมัลแวร์จะส่งเพย์โหลดขั้นต่อไป - ภัยคุกคามแบ็คดอร์แบบกำหนดเองที่ชื่อว่า Backdoor.Graphon นอกจากนี้ยังมีการค้นพบเพย์โหลดเพิ่มเติมซึ่งเป็นส่วนหนึ่งของการโจมตีของ Harvester ซึ่งรวมถึงเครื่องมือจับภาพหน้าจอแบบกำหนดเอง เครื่องมือ Cobalt Strike Beacon ซึ่งมักถูกใช้ในทางที่ผิดโดยอาชญากรไซเบอร์ และ Metasploit ซึ่งเป็นเฟรมเวิร์กแบบแยกส่วนที่สามารถใช้เพื่อจุดประสงค์ที่ล่วงล้ำได้มากมาย
รายละเอียดการโจมตี
ด้วยการผสมผสานของภัยคุกคามที่ปรับใช้ Harvester สามารถดำเนินการต่างๆ ที่เป็นอันตรายได้ สามารถจับภาพหน้าจอของระบบที่เก็บไว้ในไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน จากนั้น ไฟล์จะถูกแยกไปยังโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) ของการดำเนินการ อาชญากรไซเบอร์สามารถดำเนินการคำสั่งตามอำเภอใจ จัดการระบบไฟล์ รวบรวมไฟล์ เริ่มหรือยุติกระบวนการ และอื่นๆ ผ่าน Cobalt Strike Beacon
ในอีกทางหนึ่ง Metasploit ช่วยให้พวกเขาบรรลุการยกระดับสิทธิ์ ตั้งค่ากลไกการคงอยู่สำหรับแบ็คดอร์ การจับภาพหน้าจอ ฯลฯ เพื่อซ่อนการสื่อสารระหว่างภัยคุกคามที่ปรับใช้และเซิร์ฟเวอร์ C2 Harvesters พยายามผสมผสานการรับส่งข้อมูลที่ผิดปกติกับ ปริมาณการใช้เครือข่ายปกติขององค์กรที่ถูกบุกรุกโดยใช้ประโยชน์จากโครงสร้างพื้นฐาน CloudFront และ Microsoft ที่ถูกต้อง
