Graphon Backdoor

La porte dérobée Graphon est une menace de porte dérobée personnalisée qui est déployée dans le cadre des activités menaçantes d'un groupe APT (Advanced Persistent Threat) nouvellement découvert nommé Harvester. Les pirates semblent se concentrer sur la conduite de campagnes d'attaques d'espionnage contre des cibles situées en Asie du Sud, en Afghanistan en particulier. Les victimes détectées opèrent dans plusieurs secteurs différents, notamment l'informatique, le gouvernement et les télécommunications. Pour l'instant, on ne sait pas immédiatement quel État-nation soutient les activités menaçantes de Harvester.

Détails du graphique

La porte dérobée Graphon est livrée aux systèmes compromis par une autre menace personnalisée qui agit comme un téléchargeur. La porte dérobée est compilée en tant que fichier .NET PE DLL. Le fichier corrompu est déposé à l'emplacement suivant :

D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bits Nouveau sans présence\NPServices\bin\x86\Debug\NPServices[.]pdb

Graphon essaie d'établir une connexion avec ses serveurs Command-and-Control (C2, C&C). Les pirates hébergent l'infrastructure C2 de la porte dérobée sur l'infrastructure Microsoft pour masquer le trafic sortant suspect. Une fois entièrement déployé, Graphon commencera à obtenir des données spécifiques, qui sont ensuite cryptées et exfiltrées vers les serveurs de l'attaquant.