赛门铁克发现新APT组织,针对阿富汗电信、IT及政府机构

资讯 作者:看雪学院 2021-10-20 19:27:21 阅读:444

编辑:左右里


近日,赛门铁克新发现了一个APT组织,称之为“Harvester”,该组织在受害者设备上部署一个名为“Backdoor.Graphon”的定制后门,配合其他工具能实现远程访问、窥探用户活动和窃取数据。该组织还试图通过利用合法的 CloudFront 和 Microsoft 基础设施进行C&C(command and control,命令和控制)活动,将其活动与合法网络流量相结合。


赛门铁克观察到该组织的攻击始于2021年6月,截止10月该组织仍在活动中。攻击目标包括电信、IT企业及政府机构,攻击过程中同时使用了开源工具和自制恶意软件。赛门铁克认为,开源工具和定制开发的功能以及目标受害者都表明,“Harvester”是一个有国家背景的APT组织,且目前主要针对南亚特别是阿富汗的组织发起攻击。


攻击过程如下:


攻击者使用的定制下载程序利用Costura Assembly Loader,部署在受害者设备上,它会检查是否存在以下文件:

[ARTEFACTS_FOLDER]\winser.dll


如果文件不存在,它会从以下 URL 下载副本:

hxxps://outportal[.]azurewebsites.net/api/Values_V2/Getting3210


接下来,创建以下文件若其不存在:

"[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"


然后,它设置以下注册表值以创建loadpoint:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MicrosoftSystemServices" = "[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"


最后,它使用以下URL在其UI中打开嵌入式Web浏览器:

hxxps://usedust [. ]com


Backdoor.Graphon被编译为.NET PE DLL,导出"Main"和以下 PDB 文件:

D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bit New without presistancy\NPServices\bin\x86\Debug\NPServices[.]pdb


当其执行后,它会尝试与在 Microsoft 基础设施上托管的攻击者的 C&C 服务器进行通信。


hxxps://microsoftmsdn[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]

hxxps://microsoftsgraphapi[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]

hxxps://msdnmicrosoft.azurewebsites[.]net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]


然后,攻击者运行命令来控制其输入流并捕获输出和错误流。他们还定期向 C&C 服务器发送GET请求,提取并删除任何返回的信息。


从输出和错误流中提取的cmd.exe数据被加密并发送回攻击者的服务器。


定制截图工具也配备了Costura Assembly Loader。截图工具截下的图片会保存到一个加密的ZIP文件用于渗透,且所有超过一周的文件会被删除。


赛门铁克称,虽然他们没有足够的证据将Harvester的活动归因于特定的国家,但该组织使用的定制后门、为隐藏其恶意活动而采取的措施,以及其所针对的目标都表明它是有国家支持的ATP组织。鉴于阿富汗最近出现的巨大动荡,很难不让人浮想联翩。



资讯来源:赛门铁克官网
转载请注明出处和本文链接




推荐文章++++

美国大范围电视台停播,最大广播集团之一遭勒索软件攻击
全球月活第二的社交应用WhatsApp推进聊天记录加密
苹果发布安全更新,修复已被利用的0day漏洞
千万部安卓手机中招,恶意软件每月窃取数百万英镑

自动重置应用权限,谷歌推进Android隐私保护

今年已因网恋诈骗损失1.33亿美元,美国杀猪盘也猖獗
微软账户登录将不再需要密码






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com




球分享

球点赞

球在看



“阅读原文一起来充电吧!

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接