Harvester APT

Des détails sur un groupe APT (Advanced Persistent Threat) jusqu'alors inconnu ont été révélés dans un nouveau rapport de chercheurs sur les menaces. Le groupe de pirates informatiques est identifié comme Harvester et ses opérations menaçantes détectées consistent en des attaques d'espionnage contre des cibles en Asie du Sud, principalement en Afghanistan. Les sociétés ciblées proviennent de plusieurs secteurs industriels différents, notamment le gouvernement, les télécommunications et les technologies de l'information. L'accent mis sur l'Afghanistan, en particulier, est intéressant, compte tenu des événements majeurs récents qui s'y sont déroulés, comme la décision des États-Unis de retirer leur armée après avoir maintenu une présence dans le pays pendant deux décennies.

Bien qu'à l'heure actuelle, il n'y ait pas suffisamment de données pour identifier l'État-nation exact qui soutient les activités de Harvester, certaines preuves telles que les attaques du groupe ne sont pas motivées financièrement et l'utilisation de plusieurs outils menaçants personnalisés indiquent qu'il s'agit d'un État. -tenue de cybercriminalité sponsorisée définitivement.

Arsenal menaçant

Le Harvester APT utilise un mélange de logiciels malveillants personnalisés et d'outils accessibles au public pour créer une porte dérobée sur les machines compromises, puis siphonner les informations de celles-ci. Le vecteur d'attaque initial par lequel les attaquants prennent pied à l'intérieur de l'organisation ciblée reste inconnu. Cependant, les activités des pirates informatiques après cela ont été assez claires.

Tout d'abord, ils déploient un téléchargeur personnalisé sur le système violé. Le malware fournit ensuite la charge utile de l'étape suivante - une menace de porte dérobée personnalisée nommée Backdoor.Graphon. Des charges utiles supplémentaires ont également été découvertes dans le cadre des attaques de Harvester. Ceux-ci incluent une capture d'écran personnalisée, l'outil Cobalt Strike Beacon, couramment utilisé par les cybercriminels, et Metasploit, un cadre modulaire qui peut être utilisé à de nombreuses fins intrusives.

Détails de l'attaque

Grâce à la combinaison des menaces déployées, Harvester peut effectuer diverses actions nuisibles. Il peut capturer des photos de l'écran du système qui sont ensuite stockées dans un fichier ZIP protégé par mot de passe. Le fichier est ensuite exfiltré vers l'infrastructure de commandement et de contrôle (C2, C&C) de l'opération. Via le Cobalt Strike Beacon, les cybercriminels peuvent exécuter des commandes arbitraires, manipuler le système de fichiers, collecter des fichiers, démarrer ou terminer des processus, etc.

D'autre part, Metasploit leur permet de réaliser une escalade de privilèges, de mettre en place un mécanisme de persistance pour leur porte dérobée, une capture d'écran, etc. Pour masquer la communication entre les menaces déployées et les serveurs C2, les Harvesters tentent de mélanger le trafic sortant anormal avec le le trafic réseau normal de l'organisation compromise en tirant parti de l'infrastructure légitime de CloudFront et de Microsoft.

Tendance

Le plus regardé

Chargement...