Máy thu hoạch APT

Thông tin chi tiết về một nhóm APT (Mối đe dọa liên tục nâng cao) chưa từng được biết đến trước đây đã được tiết lộ trong một báo cáo mới của các nhà nghiên cứu về mối đe dọa. Nhóm tin tặc này được theo dõi với tên gọi Harvester, và các hoạt động đe dọa bị phát hiện của nhóm này bao gồm các cuộc tấn công gián điệp nhằm vào các mục tiêu ở Nam Á, chủ yếu ở Afghanistan. Các tập đoàn được nhắm mục tiêu đến từ một số lĩnh vực công nghiệp khác nhau, bao gồm chính phủ, viễn thông và CNTT. Đặc biệt, sự tập trung vào Afghanistan rất thú vị khi nghĩ đến những sự kiện lớn gần đây diễn ra ở đó, chẳng hạn như quyết định của Mỹ rút quân sau khi duy trì sự hiện diện ở nước này trong hai thập kỷ.

Mặc dù hiện tại không có đủ dữ liệu để xác định chính xác quốc gia đang hỗ trợ các hoạt động của Harvester, nhưng bằng chứng nhất định như các cuộc tấn công của nhóm không có động cơ tài chính và việc sử dụng một số công cụ đe dọa được xây dựng tùy chỉnh cho thấy nó là một nhà nước - trang phục tội phạm mạng có phản ứng chắc chắn.

Đe dọa Arsenal

Harvester APT sử dụng kết hợp phần mềm độc hại tùy chỉnh và các công cụ có sẵn công khai để tạo cửa sau trên các máy bị xâm nhập và sau đó lấy thông tin từ chúng. Vectơ tấn công ban đầu mà qua đó những kẻ tấn công thiết lập chỗ đứng bên trong tổ chức được nhắm mục tiêu vẫn chưa được xác định. Tuy nhiên, hoạt động của các hacker sau đó đã khá rõ ràng.

Đầu tiên, họ triển khai một trình tải xuống tùy chỉnh trên hệ thống bị vi phạm. Sau đó, phần mềm độc hại này sẽ chuyển tải giai đoạn tiếp theo - một mối đe dọa cửa hậu tùy chỉnh có tên là Backdoor.Graphon . Các tải trọng bổ sung cũng đã được phát hiện như một phần của các cuộc tấn công của Harvester. Chúng bao gồm một trình lấy ảnh chụp màn hình tùy chỉnh, công cụ Cobalt Strike Beacon, thường bị tội phạm mạng lạm dụng và Metasploit, một khuôn khổ mô-đun có thể được sử dụng cho nhiều mục đích xâm nhập.

Chi tiết cuộc tấn công

Thông qua sự kết hợp của các mối đe dọa đã triển khai, Harvester có thể thực hiện các hành động có hại khác nhau. Nó có thể chụp ảnh màn hình của hệ thống, sau đó được lưu trữ trong tệp ZIP bảo vệ bằng mật khẩu. Sau đó, tệp sẽ được chuyển sang cơ sở hạ tầng Command-and-Control (C2, C&C) của hoạt động. Thông qua Cobalt Strike Beacon, tội phạm mạng có thể thực hiện các lệnh tùy ý, thao túng hệ thống tệp, thu thập tệp, bắt đầu hoặc chấm dứt các quy trình và hơn thế nữa.

Mặt khác, Metasploit cho phép họ đạt được sự leo thang đặc quyền, thiết lập cơ chế bền vững cho cửa sau của họ, chụp màn hình, v.v. Để ẩn giao tiếp giữa các mối đe dọa đã triển khai và máy chủ C2, Người thu hoạch cố gắng kết hợp lưu lượng gửi đi bất thường với lưu lượng mạng bình thường của tổ chức bị xâm phạm bằng cách tận dụng cơ sở hạ tầng CloudFront và Microsoft hợp pháp.

xu hướng

Xem nhiều nhất

Đang tải...