Harvester APT

威胁研究人员在一份新报告中披露了有关以前未知的 APT(高级持续威胁)组的详细信息。该黑客组织被追踪为 Harvester,其检测到的威胁行动包括针对南亚(主要是阿富汗)目标的间谍攻击。目标公司来自多个不同的行业部门,包括政府、电信和 IT。考虑到最近在那里发生的重大事件,例如美国在该国维持了 20 年的存在后决定撤军,对阿富汗的关注尤其有趣。

尽管目前没有足够的数据来确定支持 Harvester 活动的确切民族国家,但某些证据(例如该组织的攻击并非出于经济动机以及使用多种定制威胁工具)表明它是一个国家- 绝对赞助网络犯罪装备。

威胁阿森纳

Harvester APT 混合使用自定义恶意软件和公开可用的工具,在受感染的机器上创建后门,然后从中窃取信息。攻击者通过其在目标组织内部建立立足点的初始攻击向量仍然未知。然而,黑客在那之后的活动已经很清楚了。

首先,他们在被入侵的系统上部署了一个自定义下载器。然后,恶意软件提供下一阶段的有效载荷 - 一个名为Backdoor.Graphon的自定义后门威胁。作为 Harvester 攻击的一部分,还发现了其他有效载荷。其中包括自定义屏幕截图抓取器、网络犯罪分子经常滥用的 Cobalt Strike Beacon 工具和 Metasploit,这是一个可用于多种侵入目的的模块化框架。

攻击详情

通过组合部署的威胁,Harvester 可以执行各种有害操作。它可以捕获系统屏幕的照片,然后将其存储在受密码保护的 ZIP 文件中。然后该文件被泄露到操作的命令和控制(C2、C&C)基础设施中。通过 Cobalt Strike Beacon,网络犯罪分子可以执行任意命令、操纵文件系统、收集文件、启动或终止进程等。

另一方面,Metasploit 允许他们实现权限提升,为他们的后门设置持久性机制,屏幕截图等。为了隐藏部署的威胁和 C2 服务器之间的通信,Harvesters 试图将异常传出流量与通过利用合法的 CloudFront 和 Microsoft 基础架构,受感染组织的正常网络流量。

趋势

最受关注

正在加载...