《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

2021-10-27
來源:嘶吼專業(yè)版
關(guān)鍵詞: APT 攻擊

  一個(gè)被研究人員稱為 “Harvester”的高級(jí)持續(xù)性威脅(APT)組織正在攻擊電信公司,、IT公司和政府部門,該活動(dòng)自今年6月以來一直在進(jìn)行,。

  根據(jù)賽門鐵克的分析,,該組織擁有非常先進(jìn)的攻擊方式和定制的工具,并且在阿富汗和該地區(qū)的其他地方開展間諜活動(dòng),。

  截至今年10月,,該活動(dòng)還仍在進(jìn)行,希望滲透竊取出大量的敏感數(shù)據(jù),。

  一系列的攻擊工具

  賽門鐵克發(fā)現(xiàn),,Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具,主要用于繞過組織的防御系統(tǒng),,比如定制的后門“Graphon ”,。

  Graphon一般會(huì)與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署,同時(shí)還有遠(yuǎn)程訪問功能和數(shù)據(jù)過濾功能,。

  賽門鐵克稱,,我們不知道Harvester最初用來入侵受害者網(wǎng)絡(luò)的感染載體是什么,,但我們?cè)谑芎φ叩臋C(jī)器上發(fā)現(xiàn)的Harvester活動(dòng)的第一個(gè)證據(jù)是一個(gè)惡意的URL,該攻擊組織隨后開始部署了各種工具,,其中包括其定制的Graphon后門,,這樣可以獲得對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限。

  該APT組織還試圖通過使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來避免載體被發(fā)現(xiàn),,使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn),。

  Harvester使用的主要工具如下:

  Graphon: 這是一個(gè)自定義的后門,它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動(dòng),。據(jù)賽門鐵克稱,,它被編譯成了一個(gè)。NET PE DLL,。當(dāng)它在執(zhí)行時(shí),,它允許 “Harvester” 操作員運(yùn)行命令,控制其輸入流,,并捕獲輸出流和錯(cuò)誤流,。據(jù)研究人員分析,他們還會(huì)定期向C2服務(wù)器發(fā)送GET請(qǐng)求,,任何返回的信息內(nèi)容都會(huì)被提取出來,,然后再刪除掉。同時(shí)cmd.exe會(huì)將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器,。

  自定義的下載器:根據(jù)研究,,這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),而且它還利用了一個(gè)很有趣的規(guī)避策略:在注冊(cè)表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn),。加載點(diǎn)是文件系統(tǒng)和注冊(cè)表內(nèi)的一個(gè)位置,,主要用于加載應(yīng)用程序和相關(guān)文件。然后,,它會(huì)在自己的界面內(nèi)打開一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器,。研究人員指出,雖然最初這個(gè)URL看起來可能是Backdoor.Graphon的一個(gè)加載點(diǎn),,但經(jīng)過進(jìn)一步調(diào)查發(fā)現(xiàn),,它似乎只是一個(gè)誘餌。

  自定義的屏幕捕捉工具:這個(gè)工具會(huì)定期將屏幕截圖保存到一個(gè)文件中,。并將它們保存在一個(gè)有密碼保護(hù)的,。ZIP檔案中,這樣就可以很輕松的對(duì)數(shù)據(jù)進(jìn)行滲透,,所有超過一周的檔案都會(huì)被刪除,。

  Cobalt Strike Beacon:這是一個(gè)商業(yè)化的、現(xiàn)成的滲透測(cè)試工具,它允許紅隊(duì)進(jìn)行模擬攻擊,。越來越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪,,其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動(dòng),上傳文件,,注入或提升權(quán)限等等,。在Harvester的攻擊過程中,它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),。

  Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具,。它是一個(gè)模塊化的框架,,通常用于權(quán)限升級(jí),,但它也可以做其他惡意的攻擊,,比如捕捉屏幕以及安裝持久性的后門。

  對(duì)于該攻擊的恐懼

  賽門鐵克團(tuán)隊(duì)還沒有足夠的信息來確定Harvester背后的攻擊人員是誰,,但研究人員說,根據(jù)它的一般運(yùn)作方式,,它可能是由一個(gè)特定的政府支持的,。

  根據(jù)該公司周一發(fā)布的消息,這些工具的攻擊能力,、它們的定制開發(fā)特性和目標(biāo)受害者群體,,都表明Harvester是一個(gè)由國家支持的攻擊者。Harvester開展的攻擊活動(dòng)很明顯地表明這一活動(dòng)的目的是間諜攻擊活動(dòng),,這是典型的由國家支持的攻擊活動(dòng),。

  雖然該組織在目前的攻擊活動(dòng)中主要針對(duì)的是阿富汗的組織,但它也攻擊了南亞地區(qū)的其他目標(biāo),。賽門鐵克警告說,,各個(gè)組織應(yīng)該對(duì)這種惡意活動(dòng)保持警惕。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com,。