Graphon Backdoor

Die Graphon Backdoor ist eine maßgeschneiderte Backdoor-Bedrohung, die als Teil der bedrohlichen Aktivitäten einer neu entdeckten APT-Gruppe (Advanced Persistent Threat) namens Harvester eingesetzt wird. Die Hacker scheinen sich darauf zu konzentrieren, Spionageangriffe gegen Ziele in Südasien, speziell in Afghanistan, durchzuführen. Die entdeckten Opfer sind in verschiedenen Sektoren tätig, darunter IT, Regierung und Telekommunikation. Vorerst ist nicht sofort klar, welcher Nationalstaat Harvesters bedrohliche Aktivitäten unterstützt.

Graphon-Details

Die Graphon-Backdoor wird den kompromittierten Systemen von einer anderen benutzerdefinierten Bedrohung bereitgestellt, die als Downloader fungiert. Die Hintertür wird als .NET PE DLL-Datei kompiliert. Die beschädigte Datei wird an folgendem Ort abgelegt:

D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 Bit Neu ohne Presistance\NPServices\bin\x86\Debug\NPServices[.]pdb

Graphon versucht, eine Verbindung zu seinen Command-and-Control-Servern (C2, C&C) aufzubauen. Die Hacker hosten die C2-Infrastruktur der Hintertür auf der Microsoft-Infrastruktur, um den verdächtigen ausgehenden Datenverkehr zu maskieren. Nach der vollständigen Bereitstellung beginnt Graphon mit dem Abrufen bestimmter Daten, die dann verschlüsselt und auf die Server des Angreifers exfiltriert werden.