Harvester APT

Daha önce bilinmeyen bir APT (Gelişmiş Kalıcı Tehdit) grubuyla ilgili ayrıntılar, tehdit araştırmacıları tarafından yeni bir raporda açıklandı. Hacker grubu Harvester olarak izleniyor ve tespit edilen tehdit edici operasyonları, başta Afganistan olmak üzere Güney Asya'daki hedeflere yönelik casusluk saldırılarından oluşuyor. Hedeflenen şirketler, hükümet, telekomünikasyon ve BT dahil olmak üzere birkaç farklı endüstri sektöründen kaynaklanmaktadır. Özellikle Afganistan'a odaklanmak, ABD'nin ülkede yirmi yıl varlığını sürdürdükten sonra ordusunu geri çekme kararı gibi, orada meydana gelen son büyük olayları akılda tutarak ilginçtir.

Şu anda Harvester'ın faaliyetlerini destekleyen ulus devleti tam olarak belirlemek için yeterli veri olmamasına rağmen, grubun saldırılarının finansal olarak motive edilmemesi ve özel olarak oluşturulmuş birkaç tehdit aracının kullanılması gibi bazı kanıtlar, grubun bir devlet olduğuna işaret ediyor. -sponsorlu siber suç örgütü kesinlikle.

Tehdit Arsenal

Harvester APT, güvenliği ihlal edilmiş makinelerde bir arka kapı oluşturmak ve ardından onlardan bilgi sifonlamak için özel kötü amaçlı yazılımların ve genel kullanıma açık araçların bir karışımını kullanır. Saldırganların hedeflenen kuruluş içinde bir dayanak oluşturduğu ilk saldırı vektörü bilinmiyor. Ancak, hackerların bundan sonraki faaliyetleri oldukça açıktı.

İlk olarak, ihlal edilen sisteme özel bir indirici yerleştirirler. Kötü amaçlı yazılım daha sonra, Backdoor.Graphon adlı özel bir arka kapı tehdidi olan bir sonraki aşama yükünü sunar. Harvester saldırılarının bir parçası olarak ek yükler de keşfedildi. Bunlar arasında özel bir ekran görüntüsü yakalayıcı, siber suçlular tarafından yaygın olarak kötüye kullanılan Cobalt Strike Beacon aracı ve çok sayıda müdahaleci amaç için kullanılabilecek modüler bir çerçeve olan Metasploit yer alıyor.

Saldırı Detayları

Dağıtılan tehditlerin birleşimi sayesinde Harvester, çeşitli zararlı eylemler gerçekleştirebilir. Daha sonra parola korumalı bir ZIP dosyasında saklanan sistem ekranının fotoğraflarını çekebilir. Dosya daha sonra operasyonun Komuta Kontrol (C2, C&C) altyapısına aktarılır. Siber suçlular, Cobalt Strike Beacon aracılığıyla keyfi komutlar yürütebilir, dosya sistemini manipüle edebilir, dosya toplayabilir, süreçleri başlatabilir veya sonlandırabilir ve daha fazlasını yapabilir.

Öte yandan Metasploit, ayrıcalık yükseltme elde etmelerine, arka kapıları için bir kalıcılık mekanizması kurmalarına, ekran yakalamalarına vb. izin verir. Dağıtılmış tehditler ve C2 sunucuları arasındaki iletişimi gizlemek için Harvester'lar anormal giden trafiği, meşru CloudFront ve Microsoft altyapısından yararlanarak güvenliği ihlal edilen kuruluşun normal ağ trafiği.