Harvester APT

Ang mga detalye tungkol sa isang dating hindi kilalang grupong APT (Advanced Persistent Threat) ay inihayag sa isang bagong ulat ng mga mananaliksik ng pagbabanta. Ang grupo ng hacker ay sinusubaybayan bilang Harvester, at ang mga nakitang pagbabanta na operasyon nito ay binubuo ng mga pag-atake ng espiya laban sa mga target sa South Asia, pangunahin sa Afghanistan. Ang mga target na korporasyon ay nagmumula sa iba't ibang sektor ng industriya, kabilang ang gobyerno, telekomunikasyon at IT. Ang pagtuon sa Afghanistan, sa partikular, ay kawili-wili, na nasa isip ang kamakailang mga pangunahing kaganapan na naganap doon, tulad ng desisyon ng US na bawiin ang hukbo nito pagkatapos mapanatili ang presensya sa bansa sa loob ng dalawang dekada.

Bagama't sa ngayon ay walang sapat na data upang matukoy ang eksaktong bansang-estado na sumusuporta sa mga aktibidad ni Harvester, ang ilang ebidensiya tulad ng mga pag-atake ng grupo ay hindi motibasyon sa pananalapi at ang paggamit ng ilang custom-built na mga tool sa pagbabanta ay tumutukoy sa pagiging isang estado. -sponsored cybercrime outfit talaga.

Pagbabanta sa Arsenal

Gumagamit ang Harvester APT ng isang halo ng custom na malware at mga tool na available sa publiko upang lumikha ng backdoor sa mga nakompromisong machine at pagkatapos ay magsiphon ng impormasyon mula sa kanila. Ang paunang vector ng pag-atake kung saan nagtatag ng foothold ang mga umaatake sa loob ng target na organisasyon ay nananatiling hindi kilala. Gayunpaman, ang mga aktibidad ng mga hacker pagkatapos noon ay medyo malinaw.

Una, nag-deploy sila ng custom na downloader sa nilabag na system. Ang malware ay naghahatid ng susunod na yugto ng payload - isang custom na banta sa backdoor na pinangalanang Backdoor.Graphon . Natuklasan din ang mga karagdagang payload bilang bahagi ng mga pag-atake ni Harvester. Kabilang dito ang isang custom na screenshot grabber, ang Cobalt Strike Beacon tool, na karaniwang inaabuso ng mga cybercriminal, at Metasploit, isang modular na balangkas na maaaring magamit para sa maraming mapanghimasok na layunin.

Mga Detalye ng Pag-atake

Sa pamamagitan ng kumbinasyon ng mga naka-deploy na banta, makakagawa si Harvester ng iba't ibang nakakapinsalang aksyon. Maaari itong kumuha ng mga larawan ng screen ng system na pagkatapos ay iniimbak sa isang ZIP file na nagpoprotekta sa password. Pagkatapos ay i-exfiltrate ang file sa imprastraktura ng Command-and-Control (C2, C&C) ng operasyon. Sa pamamagitan ng Cobalt Strike Beacon, ang mga cybercriminal ay maaaring magsagawa ng mga arbitrary na utos, manipulahin ang file system, mangolekta ng mga file, simulan o wakasan ang mga proseso at higit pa.

Sa kabilang banda, pinapayagan sila ng Metasploit na makamit ang pagtaas ng pribilehiyo, mag-set up ng mekanismo ng pagtitiyaga para sa kanilang backdoor, screen capture, atbp. Upang itago ang komunikasyon sa pagitan ng mga naka-deploy na banta at ng mga C2 server, sinusubukan ng Harvesters na ihalo ang abnormal na papalabas na trapiko sa normal na trapiko sa network ng nakompromisong organisasyon sa pamamagitan ng paggamit ng lehitimong CloudFront at imprastraktura ng Microsoft.