赛门铁克发现新APT组织,针对阿富汗电信、IT及政府机构
近日,赛门铁克新发现了一个APT组织,称之为“Harvester”,该组织在受害者设备上部署一个名为“Backdoor.Graphon”的定制后门,配合其他工具能实现远程访问、窥探用户活动和窃取数据。该组织还试图通过利用合法的 CloudFront 和 Microsoft 基础设施进行C&C(command and control,命令和控制)活动,将其活动与合法网络流量相结合。
赛门铁克观察到该组织的攻击始于2021年6月,截止10月该组织仍在活动中。攻击目标包括电信、IT企业及政府机构,攻击过程中同时使用了开源工具和自制恶意软件。赛门铁克认为,开源工具和定制开发的功能以及目标受害者都表明,“Harvester”是一个有国家背景的APT组织,且目前主要针对南亚特别是阿富汗的组织发起攻击。
攻击过程如下:
攻击者使用的定制下载程序利用Costura Assembly Loader,部署在受害者设备上,它会检查是否存在以下文件:
[ARTEFACTS_FOLDER]\winser.dll
如果文件不存在,它会从以下 URL 下载副本:
hxxps://outportal[.]azurewebsites.net/api/Values_V2/Getting3210
接下来,创建以下文件若其不存在:
"[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"
然后,它设置以下注册表值以创建loadpoint:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MicrosoftSystemServices" = "[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"
最后,它使用以下URL在其UI中打开嵌入式Web浏览器:
hxxps://usedust [. ]com
Backdoor.Graphon被编译为.NET PE DLL,导出"Main"和以下 PDB 文件:
D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bit New without presistancy\NPServices\bin\x86\Debug\NPServices[.]pdb
当其执行后,它会尝试与在 Microsoft 基础设施上托管的攻击者的 C&C 服务器进行通信。
hxxps://microsoftmsdn[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
hxxps://microsoftsgraphapi[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
hxxps://msdnmicrosoft.azurewebsites[.]net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]
然后,攻击者运行命令来控制其输入流并捕获输出和错误流。他们还定期向 C&C 服务器发送GET请求,提取并删除任何返回的信息。
从输出和错误流中提取的cmd.exe数据被加密并发送回攻击者的服务器。
定制截图工具也配备了Costura Assembly Loader。截图工具截下的图片会保存到一个加密的ZIP文件用于渗透,且所有超过一周的文件会被删除。
赛门铁克称,虽然他们没有足够的证据将Harvester的活动归因于特定的国家,但该组织使用的定制后门、为隐藏其恶意活动而采取的措施,以及其所针对的目标都表明它是有国家支持的ATP组织。鉴于阿富汗最近出现的巨大动荡,很难不让人浮想联翩。
推荐文章++++
﹀
球分享
球点赞
球在看
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- Tiro Notes:一款开源、跨平台、灵活易用、高度可扩展的 Markdown 编辑器
- AppNode手动添加开放端口
- 【极客市集】展商招募,峰会现场(2022 SDC)分享你的黑科技!
- 年轻,自有一套
- OpenCloudOS 开源操作系统社区成立;Azure 漏洞暴露数百个源代码存储库;AWS 遭遇本月第三次中断|开源日报
- 那些“不顾一切”要搞开源的人,现在怎样了?
- 在吗?你有一条来自5G时代的未读消息
- 在看 | 一周网安回顾 2020.1.16~1.22
- Wi-Fi 6 与 5G 相比哪个更快?
- 拼多多开除即将拿到股票的安全大佬;虾米音乐将永久关停;GitHub 解禁伊朗开发者使用权 | 极客头条
- 【亚洲诚信】为什么iOS 10下无法自动获取精确定位
- DigiCert 为垂直行业客户赋能 满足中国客户加密需求