Комбайн APT

Деталі про раніше невідому групу APT (Advanced Persistent Threat) були розкриті в новому звіті дослідників загроз. Група хакерів відслідковується як Harvester, і її виявлені загрозливі операції полягають у шпигунських атаках на цілі в Південній Азії, переважно в Афганістані. Цільові корпорації походять із кількох різних галузей промисловості, включаючи уряд, телекомунікації та ІТ. Зосередження уваги, зокрема, на Афганістані, є цікавим, зважаючи на останні великі події, які там відбулися, як-от рішення США вивести свою армію після збереження присутності в країні протягом двох десятиліть.

Хоча на даний момент недостатньо даних, щоб точно визначити національну державу, яка підтримує діяльність Harvester, певні докази, такі як атаки групи не були фінансово мотивованими та використання кількох спеціально створених інструментів для загроз, вказують на те, що це держава. - безумовно, спонсорована організація боротьби з кіберзлочинами.

Погрожуючи Арсеналу

Harvester APT використовує поєднання спеціального шкідливого програмного забезпечення та загальнодоступних інструментів, щоб створити бекдор на зламаних машинах, а потім викачувати з них інформацію. Початковий вектор атаки, за допомогою якого зловмисники закріплюються всередині цільової організації, залишається невідомим. Однак діяльність хакерів після цього була досить очевидною.

По-перше, вони розгортають спеціальний завантажувач у зламаній системі. Потім зловмисне програмне забезпечення доставляє корисне навантаження наступного етапу — спеціальну бекдор-загрозу під назвою Backdoor.Graphon . Додаткові корисні навантаження також були виявлені в рамках атак Harvester. Сюди входять спеціальний захоплювач скріншотів, інструмент Cobalt Strike Beacon, яким зазвичай зловживають кіберзлочинці, і Metasploit, модульна структура, яку можна використовувати для численних нав’язливих цілей.

Деталі атаки

Завдяки комбінації розгорнутих загроз Harvester може виконувати різні шкідливі дії. Він може робити фотографії екрана системи, які потім зберігаються у захищеному паролем ZIP-файлі. Потім файл ексфільтрується в інфраструктуру командування та керування (C2, C&C) операції. За допомогою Cobalt Strike Beacon кіберзлочинці можуть виконувати довільні команди, маніпулювати файловою системою, збирати файли, запускати або завершувати процеси тощо.

З іншого боку, Metasploit дозволяє їм досягти ескалації привілеїв, налаштувати механізм збереження для свого бекдору, захоплення екрана тощо. Щоб приховати зв’язок між розгорнутими загрозами та серверами C2, Harvesters намагаються поєднати ненормальний вихідний трафік із нормальний мережевий трафік скомпрометованої організації за допомогою законної інфраструктури CloudFront і Microsoft.

В тренді

Найбільше переглянуті

Завантаження...