新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊
一個(gè)被研究人員稱(chēng)為 "Harvester"的高級(jí)持續(xù)性威脅(APT)組織正在攻擊電信公司、IT公司和政府部門(mén),該活動(dòng)自今年6月以來(lái)一直在進(jìn)行。
根據(jù)賽門(mén)鐵克的分析,該組織擁有非常先進(jìn)的攻擊方式和定制的工具,并且在阿富汗和該地區(qū)的其他地方開(kāi)展間諜活動(dòng)。
截至今年10月,該活動(dòng)還仍在進(jìn)行,希望滲透竊取出大量的敏感數(shù)據(jù)。
一系列的攻擊工具
賽門(mén)鐵克發(fā)現(xiàn),Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具,主要用于繞過(guò)組織的防御系統(tǒng),比如定制的后門(mén)"Graphon "。
Graphon一般會(huì)與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署,同時(shí)還有遠(yuǎn)程訪(fǎng)問(wèn)功能和數(shù)據(jù)過(guò)濾功能。
賽門(mén)鐵克稱(chēng),我們不知道Harvester最初用來(lái)入侵受害者網(wǎng)絡(luò)的感染載體是什么,但我們?cè)谑芎φ叩臋C(jī)器上發(fā)現(xiàn)的Harvester活動(dòng)的第一個(gè)證據(jù)是一個(gè)惡意的URL,該攻擊組織隨后開(kāi)始部署了各種工具,其中包括其定制的Graphon后門(mén),這樣可以獲得對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限。
該APT組織還試圖通過(guò)使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來(lái)避免載體被發(fā)現(xiàn),使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn)。
Harvester使用的主要工具如下:
Graphon: 這是一個(gè)自定義的后門(mén),它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動(dòng)。據(jù)賽門(mén)鐵克稱(chēng),它被編譯成了一個(gè).NET PE DLL。當(dāng)它在執(zhí)行時(shí),它允許 "Harvester" 操作員運(yùn)行命令,控制其輸入流,并捕獲輸出流和錯(cuò)誤流。據(jù)研究人員分析,他們還會(huì)定期向C2服務(wù)器發(fā)送GET請(qǐng)求,任何返回的信息內(nèi)容都會(huì)被提取出來(lái),然后再刪除掉。同時(shí)cmd.exe會(huì)將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。
自定義的下載器:根據(jù)研究,這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),而且它還利用了一個(gè)很有趣的規(guī)避策略:在注冊(cè)表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊(cè)表內(nèi)的一個(gè)位置,主要用于加載應(yīng)用程序和相關(guān)文件。然后,它會(huì)在自己的界面內(nèi)打開(kāi)一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器。研究人員指出,雖然最初這個(gè)URL看起來(lái)可能是Backdoor.Graphon的一個(gè)加載點(diǎn),但經(jīng)過(guò)進(jìn)一步調(diào)查發(fā)現(xiàn),它似乎只是一個(gè)誘餌。
自定義的屏幕捕捉工具:這個(gè)工具會(huì)定期將屏幕截圖保存到一個(gè)文件中。并將它們保存在一個(gè)有密碼保護(hù)的.ZIP檔案中,這樣就可以很輕松的對(duì)數(shù)據(jù)進(jìn)行滲透,所有超過(guò)一周的檔案都會(huì)被刪除。
Cobalt Strike Beacon:這是一個(gè)商業(yè)化的、現(xiàn)成的滲透測(cè)試工具,它允許紅隊(duì)進(jìn)行模擬攻擊。越來(lái)越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪,其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動(dòng),上傳文件,注入或提升權(quán)限等等。在Harvester的攻擊過(guò)程中,它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng)。
Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具。它是一個(gè)模塊化的框架,通常用于權(quán)限升級(jí),但它也可以做其他惡意的攻擊,比如捕捉屏幕以及安裝持久性的后門(mén)。
對(duì)于該攻擊的恐懼
賽門(mén)鐵克團(tuán)隊(duì)還沒(méi)有足夠的信息來(lái)確定Harvester背后的攻擊人員是誰(shuí),但研究人員說(shuō),根據(jù)它的一般運(yùn)作方式,它可能是由一個(gè)特定的政府支持的。
根據(jù)該公司周一發(fā)布的消息,這些工具的攻擊能力、它們的定制開(kāi)發(fā)特性和目標(biāo)受害者群體,都表明Harvester是一個(gè)由國(guó)家支持的攻擊者。Harvester開(kāi)展的攻擊活動(dòng)很明顯地表明這一活動(dòng)的目的是間諜攻擊活動(dòng),這是典型的由國(guó)家支持的攻擊活動(dòng)。
雖然該組織在目前的攻擊活動(dòng)中主要針對(duì)的是阿富汗的組織,但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門(mén)鐵克警告說(shuō),各個(gè)組織應(yīng)該對(duì)這種惡意活動(dòng)保持警惕。
本文翻譯自:https://threatpost.com/apt-harvester-telco-government-data/175585/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
