一個(gè)被研究人員稱(chēng)為 "Harvester"的高級(jí)持續(xù)性威脅(APT)組織正在攻擊電信公司、IT公司和政府部門(mén)，該活動(dòng)自今年6月以來(lái)一直在進(jìn)行。

根據(jù)賽門(mén)鐵克的分析，該組織擁有非常先進(jìn)的攻擊方式和定制的工具，并且在阿富汗和該地區(qū)的其他地方開(kāi)展間諜活動(dòng)。

截至今年10月，該活動(dòng)還仍在進(jìn)行，希望滲透竊取出大量的敏感數(shù)據(jù)。

一系列的攻擊工具

賽門(mén)鐵克發(fā)現(xiàn)，Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具，主要用于繞過(guò)組織的防御系統(tǒng)，比如定制的后門(mén)"Graphon "。

Graphon一般會(huì)與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署，同時(shí)還有遠(yuǎn)程訪問(wèn)功能和數(shù)據(jù)過(guò)濾功能。

賽門(mén)鐵克稱(chēng)，我們不知道Harvester最初用來(lái)入侵受害者網(wǎng)絡(luò)的感染載體是什么，但我們?cè)谑芎φ叩臋C(jī)器上發(fā)現(xiàn)的Harvester活動(dòng)的第一個(gè)證據(jù)是一個(gè)惡意的URL，該攻擊組織隨后開(kāi)始部署了各種工具，其中包括其定制的Graphon后門(mén)，這樣可以獲得對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限。

該APT組織還試圖通過(guò)使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來(lái)避免載體被發(fā)現(xiàn)，使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn)。

Harvester使用的主要工具如下：

Graphon: 這是一個(gè)自定義的后門(mén)，它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動(dòng)。據(jù)賽門(mén)鐵克稱(chēng)，它被編譯成了一個(gè).NET PE DLL。當(dāng)它在執(zhí)行時(shí)，它允許 "Harvester" 操作員運(yùn)行命令，控制其輸入流，并捕獲輸出流和錯(cuò)誤流。據(jù)研究人員分析，他們還會(huì)定期向C2服務(wù)器發(fā)送GET請(qǐng)求，任何返回的信息內(nèi)容都會(huì)被提取出來(lái)，然后再刪除掉。同時(shí)cmd.exe會(huì)將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。

自定義的下載器：根據(jù)研究，這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng)，而且它還利用了一個(gè)很有趣的規(guī)避策略：在注冊(cè)表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊(cè)表內(nèi)的一個(gè)位置，主要用于加載應(yīng)用程序和相關(guān)文件。然后，它會(huì)在自己的界面內(nèi)打開(kāi)一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器。研究人員指出，雖然最初這個(gè)URL看起來(lái)可能是Backdoor.Graphon的一個(gè)加載點(diǎn)，但經(jīng)過(guò)進(jìn)一步調(diào)查發(fā)現(xiàn)，它似乎只是一個(gè)誘餌。

自定義的屏幕捕捉工具：這個(gè)工具會(huì)定期將屏幕截圖保存到一個(gè)文件中。并將它們保存在一個(gè)有密碼保護(hù)的.ZIP檔案中，這樣就可以很輕松的對(duì)數(shù)據(jù)進(jìn)行滲透，所有超過(guò)一周的檔案都會(huì)被刪除。

Cobalt Strike Beacon：這是一個(gè)商業(yè)化的、現(xiàn)成的滲透測(cè)試工具，它允許紅隊(duì)進(jìn)行模擬攻擊。越來(lái)越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪，其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動(dòng)，上傳文件，注入或提升權(quán)限等等。在Harvester的攻擊過(guò)程中，它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng)。

Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具。它是一個(gè)模塊化的框架，通常用于權(quán)限升級(jí)，但它也可以做其他惡意的攻擊，比如捕捉屏幕以及安裝持久性的后門(mén)。

對(duì)于該攻擊的恐懼

賽門(mén)鐵克團(tuán)隊(duì)還沒(méi)有足夠的信息來(lái)確定Harvester背后的攻擊人員是誰(shuí)，但研究人員說(shuō)，根據(jù)它的一般運(yùn)作方式，它可能是由一個(gè)特定的政府支持的。

根據(jù)該公司周一發(fā)布的消息，這些工具的攻擊能力、它們的定制開(kāi)發(fā)特性和目標(biāo)受害者群體，都表明Harvester是一個(gè)由國(guó)家支持的攻擊者。Harvester開(kāi)展的攻擊活動(dòng)很明顯地表明這一活動(dòng)的目的是間諜攻擊活動(dòng)，這是典型的由國(guó)家支持的攻擊活動(dòng)。

雖然該組織在目前的攻擊活動(dòng)中主要針對(duì)的是阿富汗的組織，但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門(mén)鐵克警告說(shuō)，各個(gè)組織應(yīng)該對(duì)這種惡意活動(dòng)保持警惕。

本文翻譯自：https://threatpost.com/apt-harvester-telco-government-data/175585/如若轉(zhuǎn)載，請(qǐng)注明原文地址。