赛门铁克发现新APT组织,针对阿富汗电信、IT及政府机构

近日,赛门铁克新发现了一个APT组织,称之为“Harvester”,该组织在受害者设备上部署一个名为“Backdoor.Graphon”的定制后门,配合其他工具能实现远程访问、窥探用户活动和窃取数据。该组织还试图通过利用合法的 CloudFront 和 Microsoft 基础设施进行C&C(command and control,命令和控制)活动,将其活动与合法网络流量相结合。
赛门铁克观察到该组织的攻击始于2021年6月,截止10月该组织仍在活动中。攻击目标包括电信、IT企业及政府机构,攻击过程中同时使用了开源工具和自制恶意软件。赛门铁克认为,开源工具和定制开发的功能以及目标受害者都表明,“Harvester”是一个有国家背景的APT组织,且目前主要针对南亚特别是阿富汗的组织发起攻击。
攻击过程如下:
攻击者使用的定制下载程序利用Costura Assembly Loader,部署在受害者设备上,它会检查是否存在以下文件:
[ARTEFACTS_FOLDER]\winser.dll
如果文件不存在,它会从以下 URL 下载副本:
hxxps://outportal[.]azurewebsites.net/api/Values_V2/Getting3210
接下来,创建以下文件若其不存在:
"[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"
然后,它设置以下注册表值以创建loadpoint:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MicrosoftSystemServices" = "[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"
最后,它使用以下URL在其UI中打开嵌入式Web浏览器:
hxxps://usedust [. ]com
Backdoor.Graphon被编译为.NET PE DLL,导出"Main"和以下 PDB 文件:
D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bit New without presistancy\NPServices\bin\x86\Debug\NPServices[.]pdb
当其执行后,它会尝试与在 Microsoft 基础设施上托管的攻击者的 C&C 服务器进行通信。
hxxps://microsoftmsdn[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
hxxps://microsoftsgraphapi[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
hxxps://msdnmicrosoft.azurewebsites[.]net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
然后,攻击者运行命令来控制其输入流并捕获输出和错误流。他们还定期向 C&C 服务器发送GET请求,提取并删除任何返回的信息。
从输出和错误流中提取的cmd.exe数据被加密并发送回攻击者的服务器。
定制截图工具也配备了Costura Assembly Loader。截图工具截下的图片会保存到一个加密的ZIP文件用于渗透,且所有超过一周的文件会被删除。
赛门铁克称,虽然他们没有足够的证据将Harvester的活动归因于特定的国家,但该组织使用的定制后门、为隐藏其恶意活动而采取的措施,以及其所针对的目标都表明它是有国家支持的ATP组织。鉴于阿富汗最近出现的巨大动荡,很难不让人浮想联翩。
推荐文章++++
﹀


球分享

球点赞

球在看

[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- Internet-Pi:一键部署,打造你的家庭网络监控中心
- BlueHost名称服务器更改教程
- 看雪学苑兔年红包封面大放送!
- 在抖音全程看世界杯,超高清直播背后的硬实力
- 从南沙图书馆到故宫博物院,隐藏着怎样的未来世界?
- 程序员靠“作弊”入职,“面试替身”每小时收费 150 美元,结果还是大翻车......
- 首个!“828 B2B企业节”来了!
- 重磅!蚂蚁开源可信隐私计算框架“隐语”,主流技术灵活组装、开发者友好分层设计
- 放白帽黑客一马?美国何故修订CFAA?
- 还在纠结数据仓库和数据湖的二选一?滴普科技FastData教你两手兼得
- 高通推出第1代骁龙G3x游戏平台,赋能新一代游戏专用设备
- 库克:苹果收取 30% 佣金很合理!