《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

新的APT組織Harvester對(duì)電信公司和政府進(jìn)行攻擊

2021-10-27
來(lái)源:嘶吼專業(yè)版
關(guān)鍵詞: APT 攻擊

  一個(gè)被研究人員稱為 “Harvester”的高級(jí)持續(xù)性威脅(APT)組織正在攻擊電信公司,、IT公司和政府部門,,該活動(dòng)自今年6月以來(lái)一直在進(jìn)行。

  根據(jù)賽門鐵克的分析,該組織擁有非常先進(jìn)的攻擊方式和定制的工具,,并且在阿富汗和該地區(qū)的其他地方開展間諜活動(dòng)。

  截至今年10月,,該活動(dòng)還仍在進(jìn)行,,希望滲透竊取出大量的敏感數(shù)據(jù)。

  一系列的攻擊工具

  賽門鐵克發(fā)現(xiàn),,Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具,,主要用于繞過(guò)組織的防御系統(tǒng),,比如定制的后門“Graphon ”。

  Graphon一般會(huì)與一個(gè)屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署,,同時(shí)還有遠(yuǎn)程訪問(wèn)功能和數(shù)據(jù)過(guò)濾功能,。

  賽門鐵克稱,我們不知道Harvester最初用來(lái)入侵受害者網(wǎng)絡(luò)的感染載體是什么,,但我們?cè)谑芎φ叩臋C(jī)器上發(fā)現(xiàn)的Harvester活動(dòng)的第一個(gè)證據(jù)是一個(gè)惡意的URL,,該攻擊組織隨后開始部署了各種工具,其中包括其定制的Graphon后門,,這樣可以獲得對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限,。

  該APT組織還試圖通過(guò)使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來(lái)避免載體被發(fā)現(xiàn),使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn),。

  Harvester使用的主要工具如下:

  Graphon: 這是一個(gè)自定義的后門,,它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動(dòng)。據(jù)賽門鐵克稱,,它被編譯成了一個(gè),。NET PE DLL。當(dāng)它在執(zhí)行時(shí),,它允許 “Harvester” 操作員運(yùn)行命令,,控制其輸入流,并捕獲輸出流和錯(cuò)誤流,。據(jù)研究人員分析,,他們還會(huì)定期向C2服務(wù)器發(fā)送GET請(qǐng)求,任何返回的信息內(nèi)容都會(huì)被提取出來(lái),,然后再刪除掉,。同時(shí)cmd.exe會(huì)將從輸出流和錯(cuò)誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。

  自定義的下載器:根據(jù)研究,,這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),,而且它還利用了一個(gè)很有趣的規(guī)避策略:在注冊(cè)表中為惡意軟件創(chuàng)建一個(gè)新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊(cè)表內(nèi)的一個(gè)位置,,主要用于加載應(yīng)用程序和相關(guān)文件,。然后,它會(huì)在自己的界面內(nèi)打開一個(gè)嵌入式網(wǎng)絡(luò)瀏覽器,。研究人員指出,,雖然最初這個(gè)URL看起來(lái)可能是Backdoor.Graphon的一個(gè)加載點(diǎn),但經(jīng)過(guò)進(jìn)一步調(diào)查發(fā)現(xiàn),,它似乎只是一個(gè)誘餌,。

  自定義的屏幕捕捉工具:這個(gè)工具會(huì)定期將屏幕截圖保存到一個(gè)文件中。并將它們保存在一個(gè)有密碼保護(hù)的。ZIP檔案中,,這樣就可以很輕松的對(duì)數(shù)據(jù)進(jìn)行滲透,所有超過(guò)一周的檔案都會(huì)被刪除,。

  Cobalt Strike Beacon:這是一個(gè)商業(yè)化的,、現(xiàn)成的滲透測(cè)試工具,它允許紅隊(duì)進(jìn)行模擬攻擊,。越來(lái)越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪,,其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動(dòng),上傳文件,,注入或提升權(quán)限等等,。在Harvester的攻擊過(guò)程中,它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動(dòng),。

  Metasploit: 這是另一個(gè)網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具,。它是一個(gè)模塊化的框架,通常用于權(quán)限升級(jí),,但它也可以做其他惡意的攻擊,,比如捕捉屏幕以及安裝持久性的后門。

  對(duì)于該攻擊的恐懼

  賽門鐵克團(tuán)隊(duì)還沒有足夠的信息來(lái)確定Harvester背后的攻擊人員是誰(shuí),,但研究人員說(shuō),,根據(jù)它的一般運(yùn)作方式,它可能是由一個(gè)特定的政府支持的,。

  根據(jù)該公司周一發(fā)布的消息,,這些工具的攻擊能力、它們的定制開發(fā)特性和目標(biāo)受害者群體,,都表明Harvester是一個(gè)由國(guó)家支持的攻擊者,。Harvester開展的攻擊活動(dòng)很明顯地表明這一活動(dòng)的目的是間諜攻擊活動(dòng),這是典型的由國(guó)家支持的攻擊活動(dòng),。

  雖然該組織在目前的攻擊活動(dòng)中主要針對(duì)的是阿富汗的組織,,但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門鐵克警告說(shuō),,各個(gè)組織應(yīng)該對(duì)這種惡意活動(dòng)保持警惕,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]