Harvester APT

威脅研究人員在一份新報告中披露了有關以前未知的 APT（高級持續威脅）組的詳細信息。該黑客組織被追踪為 Harvester，其檢測到的威脅行動包括針對南亞目標的間諜攻擊，主要是在阿富汗。目標公司來自多個不同的行業部門，包括政府、電信和 IT。考慮到最近在那裡發生的重大事件，例如美國在該國維持了 20 年的存在後決定撤軍，對阿富汗的關注尤其有趣。

儘管目前沒有足夠的數據來確定支持 Harvester 活動的確切民族國家，但某些證據（例如該組織的攻擊並非出於經濟動機以及使用多種定制威脅工具）表明它是一個國家- 絕對贊助網絡犯罪裝備。

威脅阿森納

Harvester APT 混合使用自定義惡意軟件和公開可用的工具，在受感染的機器上創建後門，然後從中竊取信息。攻擊者通過其在目標組織內部建立立足點的初始攻擊向量仍然未知。然而，黑客在那之後的活動已經很清楚了。

首先，他們在被入侵的系統上部署了一個自定義下載器。然後，惡意軟件提供下一階段的有效載荷 - 一個名為Backdoor.Graphon的自定義後門威脅。作為 Harvester 攻擊的一部分，還發現了其他有效載荷。其中包括自定義屏幕截圖抓取器、網絡犯罪分子經常濫用的 Cobalt Strike Beacon 工具和 Metasploit，這是一個可用於多種侵入目的的模塊化框架。

攻擊詳情

通過組合部署的威脅，Harvester 可以執行各種有害操作。它可以捕獲系統屏幕的照片，然後將其存儲在受密碼保護的 ZIP 文件中。然後該文件被洩露到操作的命令和控制（C2、C&C）基礎設施中。通過 Cobalt Strike Beacon，網絡犯罪分子可以執行任意命令、操縱文件系統、收集文件、啟動或終止進程等。

另一方面，Metasploit 允許他們實現權限提升，為他們的後門設置持久性機制，屏幕截圖等。為了隱藏部署的威脅和 C2 服務器之間的通信，Harvesters 試圖將異常傳出流量與通過利用合法的 CloudFront 和 Microsoft 基礎架構，受感染組織的正常網絡流量。