Harvester APT

Los detalles sobre un grupo APT (Amenaza persistente avanzada) previamente desconocido han sido revelados en un nuevo informe de investigadores de amenazas. El grupo de piratas informáticos se rastrea como Harvester, y sus operaciones amenazantes detectadas consisten en ataques de espionaje contra objetivos en el sur de Asia, principalmente en Afganistán. Las corporaciones objetivo provienen de varios sectores industriales diferentes, incluidos el gobierno, las telecomunicaciones y la tecnología de la información. El enfoque en Afganistán, en particular, es interesante, teniendo en cuenta los importantes acontecimientos recientes que tuvieron lugar allí, como la decisión de Estados Unidos de retirar su ejército después de mantener una presencia en el país durante dos décadas.

Aunque por el momento no hay suficientes datos para identificar el estado-nación exacto que respalda las actividades de Harvester, cierta evidencia, como que los ataques del grupo no fueron motivados financieramente y el uso de varias herramientas amenazantes diseñadas a medida, apuntan a que se trata de un estado. - equipo de ciberdelincuencia patrocinado definitivamente.

Arsenal amenazador

Harvester APT emplea una combinación de malware personalizado y herramientas disponibles públicamente para crear una puerta trasera en las máquinas comprometidas y luego desviar información de ellas. El vector de ataque inicial a través del cual los atacantes establecen un punto de apoyo dentro de la organización objetivo sigue siendo desconocido. Sin embargo, las actividades de los piratas informáticos después de eso han sido bastante claras.

Primero, implementan un descargador personalizado en el sistema violado. Luego, el malware entrega la carga útil de la siguiente etapa: una amenaza de puerta trasera personalizada llamada Backdoor.Graphon. También se han descubierto cargas útiles adicionales como parte de los ataques de Harvester. Estos incluyen un capturador de captura de pantalla personalizado, la herramienta Cobalt Strike Beacon, comúnmente utilizada por los ciberdelincuentes, y Metasploit, un marco modular que puede usarse para numerosos propósitos intrusivos.

Detalles del ataque

Mediante la combinación de amenazas implementadas, Harvester puede realizar varias acciones dañinas. Puede capturar fotos de la pantalla del sistema que luego se almacenan en un archivo ZIP protegido con contraseña. Luego, el archivo se extrae a la infraestructura de comando y control (C2, C&C) de la operación. A través del Cobalt Strike Beacon, los ciberdelincuentes pueden ejecutar comandos arbitrarios, manipular el sistema de archivos, recopilar archivos, iniciar o finalizar procesos y más.

Por otro lado, Metasploit les permite lograr una escalada de privilegios, configurar un mecanismo de persistencia para su puerta trasera, captura de pantalla, etc. Para ocultar la comunicación entre las amenazas implementadas y los servidores C2, Harvesters intenta combinar el tráfico saliente anormal con el tráfico de red normal de la organización comprometida aprovechando la infraestructura legítima de CloudFront y Microsoft.

Tendencias

Mas Visto

Cargando...