一个被研究人员称为 "Harvester"的高级持续性威胁(APT)组织正在攻击电信公司、IT公司和政府部门,该活动自今年6月以来一直在进行。
根据赛门铁克的分析,该组织拥有非常先进的攻击方式和定制的工具,并且在阿富汗和该地区的其他地方开展间谍活动。
截至今年10月,该活动还仍在进行,希望渗透窃取出大量的敏感数据。
一系列的攻击工具
赛门铁克发现,Harvester已经投资并研发了一系列的攻击工具,主要用于绕过组织的防御系统,比如定制的后门"Graphon "。
Graphon一般会与一个屏幕截图收集工具和其他的恶意软件工具下载器一起部署,同时还有远程访问功能和数据过滤功能。
赛门铁克称,我们不知道Harvester最初用来入侵受害者网络的感染载体是什么,但我们在受害者的机器上发现的Harvester活动的第一个证据是一个恶意的URL,该攻击组织随后开始部署了各种工具,其中包括其定制的Graphon后门,这样可以获得对网络的远程访问权限。
该APT组织还试图通过使用合法的CloudFront和微软基础设施进行指挥和控制(C2)攻击来避免载体被发现,使其在合法的网络流量中不被发现。
Harvester使用的主要工具如下:
Graphon: 这是一个自定义的后门,它使用微软的基础设施进行C2攻击活动。据赛门铁克称,它被编译成了一个.NET PE DLL。当它在执行时,它允许 "Harvester" 操作员运行命令,控制其输入流,并捕获输出流和错误流。据研究人员分析,他们还会定期向C2服务器发送GET请求,任何返回的信息内容都会被提取出来,然后再删除掉。同时cmd.exe会将从输出流和错误流中提取的数据进行加密并发送给攻击者的服务器。
自定义的下载器:根据研究,这也是在利用微软的基础设施进行C2活动,而且它还利用了一个很有趣的规避策略:在注册表中为恶意软件创建一个新的加载点。加载点是文件系统和注册表内的一个位置,主要用于加载应用程序和相关文件。然后,它会在自己的界面内打开一个嵌入式网络浏览器。研究人员指出,虽然最初这个URL看起来可能是Backdoor.Graphon的一个加载点,但经过进一步调查发现,它似乎只是一个诱饵。
自定义的屏幕捕捉工具:这个工具会定期将屏幕截图保存到一个文件中。并将它们保存在一个有密码保护的.ZIP档案中,这样就可以很轻松的对数据进行渗透,所有超过一周的档案都会被删除。
Cobalt Strike Beacon:这是一个商业化的、现成的渗透测试工具,它允许红队进行模拟攻击。越来越多网络犯罪分子将其用于网络犯罪,其中包括在企业环境中进行横向移动,上传文件,注入或提升权限等等。在Harvester的攻击过程中,它使用了CloudFront基础设施进行C2活动。
Metasploit: 这是另一个网络攻击者经常使用的工具。它是一个模块化的框架,通常用于权限升级,但它也可以做其他恶意的攻击,比如捕捉屏幕以及安装持久性的后门。
对于该攻击的恐惧
赛门铁克团队还没有足够的信息来确定Harvester背后的攻击人员是谁,但研究人员说,根据它的一般运作方式,它可能是由一个特定的政府支持的。
根据该公司周一发布的消息,这些工具的攻击能力、它们的定制开发特性和目标受害者群体,都表明Harvester是一个由国家支持的攻击者。Harvester开展的攻击活动很明显地表明这一活动的目的是间谍攻击活动,这是典型的由国家支持的攻击活动。
虽然该组织在目前的攻击活动中主要针对的是阿富汗的组织,但它也攻击了南亚地区的其他目标。赛门铁克警告说,各个组织应该对这种恶意活动保持警惕。
本文翻译自:https://threatpost.com/apt-harvester-telco-government-data/175585/如若转载,请注明原文地址。
