Baru APT Harvester Menuai Telco, Data Pemerintah

A kelompok ancaman persisten tingkat lanjut (APT) yang sebelumnya tak terlihat yang dijuluki Harvester oleh para peneliti menyerang perusahaan telekomunikasi, perusahaan TI, dan target sektor pemerintah dalam kampanye yang telah berlangsung sejak Juni. alat, dan itu dalam upaya untuk melakukan kegiatan spionase di Afghanistan dan di tempat lain di wilayah itu.

Pada bulan Oktober, kampanye masih berlangsung, mencari untuk menggali karunia data sensitif.

Set Alat Tajam

Harvester telah berinvestasi dalam berbagai alat untuk menembus pertahanan organisasi, Symantec menemukan, termasuk pintu belakang khusus “Graphon”.

“Kami tidak mengetahui vektor infeksi awal yang digunakan Harvester untuk menyusup ke jaringan korban, tetapi bukti pertama yang kami temukan tentang aktivitas Harvester di mesin korban adalah URL jahat,” menurut tulisan Symantec. “Grup tersebut kemudian mulai menerapkan berbagai alat, termasuk pintu belakang Graphon kustomnya, untuk mendapatkan akses jarak jauh ke jaringan.”

APT juga berusaha menghindari pemberitahuan dengan menggunakan infrastruktur CloudFront dan Microsoft yang sah untuk aktivitas perintah-dan-kontrol (C2). , agar tidak diperhatikan di tengah lalu lintas jaringan yang sah.

Alat utama yang digunakan oleh Harvester adalah sebagai berikut:

Graphon: Pintu belakang khusus yang menggunakan infrastruktur Microsoft untuk aktivitas C2-nya. Menurut Symantec, ini dikompilasi sebagai .NET PE DLL. Saat dijalankan, ini memungkinkan operator Harvester menjalankan perintah untuk mengontrol aliran input mereka dan menangkap aliran output dan kesalahan. “Mereka juga secara berkala mengirim permintaan GET ke server C2, dengan konten dari setiap pesan yang dikembalikan diekstraksi dan kemudian dihapus,” menurut analisis tersebut. “Data yang diambil cmd.exe dari output dan aliran kesalahan dienkripsi dan dikirim kembali ke server penyerang.”

Custom Downloader: Ini juga menggunakan infrastruktur Microsoft untuk aktivitas C2-nya, dan memanfaatkan taktik penghindaran tambahan yang menarik, menurut research: nilai registri untuk membuat titik muat baru untuk malware, yang merupakan lokasi di dalam sistem file dan registri yang digunakan untuk memuat aplikasi dan file terkait. Kemudian, ia membuka browser web tertanam di dalam antarmukanya sendiri. “Meskipun awalnya tampak bahwa URL ini mungkin menjadi titik muat untuk Backdoor.Graphon, setelah diselidiki lebih lanjut tampaknya menjadi umpan untuk membingungkan pengguna yang terpengaruh,” catat para peneliti.

Custom Screenshotter: Alat ini secara berkala mencatat tangkapan layar ke file. Ini menyimpannya ke arsip .ZIP yang dilindungi kata sandi untuk eksfiltrasi, dengan semua arsip yang lebih lama dari seminggu dihapus.

Cobalt Strike Beacon: Ini adalah alat pengujian penetrasi komersial yang memungkinkan tim merah untuk meniru serangan. Penjahat dunia maya semakin sering menggunakannya untuk tujuan jahat, termasuk menyebar secara lateral dalam lingkungan perusahaan, mengunggah file, menyuntikkan atau meningkatkan proses, dan banyak lagi. Dalam implementasi Harvester, ia menggunakan infrastruktur CloudFront untuk aktivitas C2-nya.

Metasploit: Ini adalah alat siap pakai lainnya yang sering digunakan oleh penyerang siber. Ini adalah kerangka kerja modular yang biasanya digunakan untuk eskalasi hak istimewa, tetapi juga dapat melakukan hal-hal berbahaya lainnya, seperti tangkapan layar dan menerapkan pintu belakang yang persisten.

Jangan Takut pada Reaper

Tim Symantec belum memiliki informasi yang cukup untuk membuat atribusi khusus untuk siapa di belakang Harvester, tetapi mengingat MO umumnya, kemungkinan didukung oleh pemerintah tertentu, kata para peneliti.

“Kemampuan alat, pengembangan kebiasaan mereka, dan korban yang ditargetkan, semuanya menunjukkan bahwa Harvester adalah aktor yang didukung negara-bangsa,” menurut ke posting Senin dari perusahaan. “Aktivitas yang dilakukan oleh Harvester memperjelas tujuan kampanye ini adalah spionase, yang merupakan motivasi khas di balik aktivitas yang didukung negara-bangsa.”

Sementara kelompok ini terutama menargetkan organisasi di Afghanistan dalam kampanye saat ini, mereka juga menyerang target lainnya di kawasan Asia Selatan. Entitas “harus waspada terhadap aktivitas jahat,” Symantec memperingatkan.

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...

%d bloggers like this: