《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

2021-10-27
來源:嘶吼專業(yè)版
關(guān)鍵詞: APT 攻擊

  一個(gè)被研究人員稱為 “Harvester”的高級(jí)持續(xù)性威脅(APT)組織正在攻擊電信公司、IT公司和政府部門,該活動(dòng)自今年6月以來一直在進(jìn)行。

  根據(jù)賽門鐵克的分析,該組織擁有非常先進(jìn)的攻擊方式和定制的工具,并且在阿富汗和該地區(qū)的其他地方開展間諜活動(dòng)。

  截至今年10月,該活動(dòng)還仍在進(jìn)行,希望滲透竊取出大量的敏感數(shù)據(jù)。

  一系列的攻擊工具

  賽門鐵克發(fā)現(xiàn),Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具,主要用于繞過組織的防御系統(tǒng),比如定制的后門“Graphon ”。

  Graphon一般會(huì)與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署,同時(shí)還有遠(yuǎn)程訪問功能和數(shù)據(jù)過濾功能。

  賽門鐵克稱,我們不知道Harvester最初用來入侵受害者網(wǎng)絡(luò)的感染載體是什么,但我們?cè)谑芎φ叩臋C(jī)器上發(fā)現(xiàn)的Harvester活動(dòng)的第一個(gè)證據(jù)是一個(gè)惡意的URL,該攻擊組織隨后開始部署了各種工具,其中包括其定制的Graphon后門,這樣可以獲得對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限。

  該APT組織還試圖通過使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來避免載體被發(fā)現(xiàn),使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn)。

  Harvester使用的主要工具如下:

  Graphon: 這是一個(gè)自定義的后門,它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動(dòng)。據(jù)賽門鐵克稱,它被編譯成了一個(gè)。NET PE DLL。當(dāng)它在執(zhí)行時(shí),它允許 “Harvester” 操作員運(yùn)行命令,控制其輸入流,并捕獲輸出流和錯(cuò)誤流。據(jù)研究人員分析,他們還會(huì)定期向C2服務(wù)器發(fā)送GET請(qǐng)求,任何返回的信息內(nèi)容都會(huì)被提取出來,然后再刪除掉。同時(shí)cmd.exe會(huì)將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。

  自定義的下載器:根據(jù)研究,這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),而且它還利用了一個(gè)很有趣的規(guī)避策略:在注冊(cè)表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊(cè)表內(nèi)的一個(gè)位置,主要用于加載應(yīng)用程序和相關(guān)文件。然后,它會(huì)在自己的界面內(nèi)打開一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器。研究人員指出,雖然最初這個(gè)URL看起來可能是Backdoor.Graphon的一個(gè)加載點(diǎn),但經(jīng)過進(jìn)一步調(diào)查發(fā)現(xiàn),它似乎只是一個(gè)誘餌。

  自定義的屏幕捕捉工具:這個(gè)工具會(huì)定期將屏幕截圖保存到一個(gè)文件中。并將它們保存在一個(gè)有密碼保護(hù)的。ZIP檔案中,這樣就可以很輕松的對(duì)數(shù)據(jù)進(jìn)行滲透,所有超過一周的檔案都會(huì)被刪除。

  Cobalt Strike Beacon:這是一個(gè)商業(yè)化的、現(xiàn)成的滲透測(cè)試工具,它允許紅隊(duì)進(jìn)行模擬攻擊。越來越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪,其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動(dòng),上傳文件,注入或提升權(quán)限等等。在Harvester的攻擊過程中,它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng)。

  Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具。它是一個(gè)模塊化的框架,通常用于權(quán)限升級(jí),但它也可以做其他惡意的攻擊,比如捕捉屏幕以及安裝持久性的后門。

  對(duì)于該攻擊的恐懼

  賽門鐵克團(tuán)隊(duì)還沒有足夠的信息來確定Harvester背后的攻擊人員是誰,但研究人員說,根據(jù)它的一般運(yùn)作方式,它可能是由一個(gè)特定的政府支持的。

  根據(jù)該公司周一發(fā)布的消息,這些工具的攻擊能力、它們的定制開發(fā)特性和目標(biāo)受害者群體,都表明Harvester是一個(gè)由國(guó)家支持的攻擊者。Harvester開展的攻擊活動(dòng)很明顯地表明這一活動(dòng)的目的是間諜攻擊活動(dòng),這是典型的由國(guó)家支持的攻擊活動(dòng)。

  雖然該組織在目前的攻擊活動(dòng)中主要針對(duì)的是阿富汗的組織,但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門鐵克警告說,各個(gè)組織應(yīng)該對(duì)這種惡意活動(dòng)保持警惕。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。