一個(gè)被研究人員稱為 "Harvester"的高級持續(xù)性威脅(APT)組織正在攻擊電信公司、IT公司和政府部門，該活動自今年6月以來一直在進(jìn)行。

根據(jù)賽門鐵克的分析，該組織擁有非常先進(jìn)的攻擊方式和定制的工具，并且在阿富汗和該地區(qū)的其他地方開展間諜活動。

截至今年10月，該活動還仍在進(jìn)行，希望滲透竊取出大量的敏感數(shù)據(jù)。

一系列的攻擊工具

賽門鐵克發(fā)現(xiàn)，Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具，主要用于繞過組織的防御系統(tǒng)，比如定制的后門"Graphon "。

Graphon一般會與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署，同時(shí)還有遠(yuǎn)程訪問功能和數(shù)據(jù)過濾功能。

賽門鐵克稱，我們不知道Harvester最初用來入侵受害者網(wǎng)絡(luò)的感染載體是什么，但我們在受害者的機(jī)器上發(fā)現(xiàn)的Harvester活動的第一個(gè)證據(jù)是一個(gè)惡意的URL，該攻擊組織隨后開始部署了各種工具，其中包括其定制的Graphon后門，這樣可以獲得對網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限。

該APT組織還試圖通過使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來避免載體被發(fā)現(xiàn)，使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn)。

Harvester使用的主要工具如下：

Graphon: 這是一個(gè)自定義的后門，它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動。據(jù)賽門鐵克稱，它被編譯成了一個(gè).NET PE DLL。當(dāng)它在執(zhí)行時(shí)，它允許 "Harvester" 操作員運(yùn)行命令，控制其輸入流，并捕獲輸出流和錯(cuò)誤流。據(jù)研究人員分析，他們還會定期向C2服務(wù)器發(fā)送GET請求，任何返回的信息內(nèi)容都會被提取出來，然后再刪除掉。同時(shí)cmd.exe會將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。

自定義的下載器：根據(jù)研究，這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動，而且它還利用了一個(gè)很有趣的規(guī)避策略：在注冊表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊表內(nèi)的一個(gè)位置，主要用于加載應(yīng)用程序和相關(guān)文件。然后，它會在自己的界面內(nèi)打開一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器。研究人員指出，雖然最初這個(gè)URL看起來可能是Backdoor.Graphon的一個(gè)加載點(diǎn)，但經(jīng)過進(jìn)一步調(diào)查發(fā)現(xiàn)，它似乎只是一個(gè)誘餌。

自定義的屏幕捕捉工具：這個(gè)工具會定期將屏幕截圖保存到一個(gè)文件中。并將它們保存在一個(gè)有密碼保護(hù)的.ZIP檔案中，這樣就可以很輕松的對數(shù)據(jù)進(jìn)行滲透，所有超過一周的檔案都會被刪除。

Cobalt Strike Beacon：這是一個(gè)商業(yè)化的、現(xiàn)成的滲透測試工具，它允許紅隊(duì)進(jìn)行模擬攻擊。越來越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪，其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動，上傳文件，注入或提升權(quán)限等等。在Harvester的攻擊過程中，它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動。

Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具。它是一個(gè)模塊化的框架，通常用于權(quán)限升級，但它也可以做其他惡意的攻擊，比如捕捉屏幕以及安裝持久性的后門。

對于該攻擊的恐懼

賽門鐵克團(tuán)隊(duì)還沒有足夠的信息來確定Harvester背后的攻擊人員是誰，但研究人員說，根據(jù)它的一般運(yùn)作方式，它可能是由一個(gè)特定的政府支持的。

根據(jù)該公司周一發(fā)布的消息，這些工具的攻擊能力、它們的定制開發(fā)特性和目標(biāo)受害者群體，都表明Harvester是一個(gè)由國家支持的攻擊者。Harvester開展的攻擊活動很明顯地表明這一活動的目的是間諜攻擊活動，這是典型的由國家支持的攻擊活動。

雖然該組織在目前的攻擊活動中主要針對的是阿富汗的組織，但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門鐵克警告說，各個(gè)組織應(yīng)該對這種惡意活動保持警惕。

本文翻譯自：https://threatpost.com/apt-harvester-telco-government-data/175585/如若轉(zhuǎn)載，請注明原文地址。