一个被研究人员称为“Harvester”的高级持续性威胁(APT)组织正在攻击电信公司、IT公司和政府部门。从那以后一直在进行。据赛门铁克分析,该组织拥有非常先进的攻击手段和定制工具,在阿富汗和该地区其他地方开展间谍活动。截至今年10月,该活动仍在进行中,希望渗透并窃取大量敏感数据。一系列攻击工具赛门铁克发现Harvester投资并开发了一系列攻击工具,主要用于绕过该组织的防御系统,例如定制后门“Graphon”。Graphon通常与屏幕截图收集器和其他恶意软件工具下载器一起部署,以及远程访问和数据过滤。“我们不知道Harvester最初使用什么感染媒介来破坏受害者的网络,但我们在受害者机器上发现的第一个Harvester活动证据是一个恶意URL,该组织随后开始部署各种工具,包括其自定义的Graphon后门,可以远程访问网络。APT组织还试图通过使用合法的CloudFront和Microsoft基础设施进行命令和控制(C2)攻击来避免矢量检测,使其在合法网络流量中无法检测到。Harvester如下:Graphon:这是一个自定义后门,使用微软的基础设施进行C2攻击。据赛门铁克称,它被编译成一个.NETPEDLL。在执行时,它允许“Harvester”操作员运行命令,控制它的输入流,捕获输出流和错误流,根据研究人员的分析,他们还会周期性地向C2服务器发送GET请求,任何响应转向信息将被提取然后删除。同时,cmd.exe会对输出流和错误流中提取的数据进行加密,发送给攻击者的服务器。CustomDownloader:根据研究,这也是使用Microsoft基础设施进行C2活动,它还使用了一种有趣的规避策略:在注册表中为恶意软件创建一个新的加载点。安装点是文件系统和注册表中的一个位置,主要用于加载应用程序和相关文件。然后它会在自己的界面中打开一个嵌入式网络浏览器。研究人员指出,虽然最初看起来该URL可能是Backdoor.Graphon的加载点,但进一步调查显示它似乎只是一个诱饵。自定义屏幕捕获工具:此工具会定期将屏幕截图保存到文件中。并将它们保存在受密码保护的.ZIP存档中,这样数据就可以很容易地被泄露,所有超过一周的存档都将被删除。CobaltStrikeBeacon:这是一种商业化的现成渗透测试工具,允许红队进行模拟攻击。它越来越多地被网络犯罪分子用于网络犯罪,包括企业环境中的横向移动、上传文件、注入或提升权限等等。在Harvester的攻击期间,它使用CloudFront基础设施进行C2活动。Metasploit:这是网络攻击者经常使用的另一种工具。它是一个模块化框架,通常用于权限提升,但它也可以执行其他恶意操作,例如捕获屏幕和安装持久性后门。对攻击的恐惧赛门铁克团队还没有足够的信息来确定Harvester的幕后黑手,但研究人员表示,根据它的一般运作方式,它可能得到了特定政府的支持。根据该公司周一发布的消息,这些工具的攻击能力、它们的定制开发性质和目标受害者群体都表明Harvester是国家支持的攻击者。Harvester的攻击活动清楚地表明此活动的目的是间谍攻击,这是典型的国家支持的攻击。虽然该组织在目前的活动中主要针对阿富汗境内的组织,但它也针对南亚的其他目标。赛门铁克警告说,组织应该警惕这种类型的恶意活动。本文翻译自:https://threatpost.com/apt-harvester-telco-government-data/175585/如有转载请注明原文地址。
