Harvester APT

Details zu einer bisher unbekannten APT-Gruppe (Advanced Persistent Threat) wurden in einem neuen Bericht von Bedrohungsforschern enthüllt. Die Hackergruppe wird als Harvester verfolgt, und ihre aufgedeckten bedrohlichen Operationen bestehen aus Spionageangriffen auf Ziele in Südasien, hauptsächlich in Afghanistan. Die Zielunternehmen stammen aus verschiedenen Branchen, darunter Regierung, Telekommunikation und IT. Besonders der Fokus auf Afghanistan ist interessant, wenn man die jüngsten Großereignisse vor Augen führt, wie etwa die Entscheidung der USA, ihre Armee nach zwei Jahrzehnten Präsenz im Land abzuziehen.

Obwohl es im Moment nicht genügend Daten gibt, um den genauen Nationalstaat zu bestimmen, der Harvesters Aktivitäten unterstützt, weisen bestimmte Beweise wie die nicht finanziell motivierten Angriffe der Gruppe und der Einsatz mehrerer speziell angefertigter Bedrohungsinstrumente darauf hin, dass es sich um einen Staat handelt -auf jeden Fall ein gesponsertes Cybercrime-Outfit.

Bedrohliches Arsenal

Der Harvester APT verwendet eine Mischung aus benutzerdefinierter Malware und öffentlich verfügbaren Tools, um eine Hintertür auf den kompromittierten Maschinen zu erstellen und dann Informationen von ihnen abzusaugen. Der anfängliche Angriffsvektor, durch den die Angreifer innerhalb der Zielorganisation Fuß fassen, bleibt unbekannt. Die Aktivitäten der Hacker danach waren jedoch ziemlich klar.

Zuerst stellen sie einen benutzerdefinierten Downloader auf dem angegriffenen System bereit. Die Malware liefert dann die Nutzlast der nächsten Stufe – eine benutzerdefinierte Backdoor-Bedrohung namens Backdoor.Graphon. Im Rahmen von Harvesters Angriffen wurden auch zusätzliche Nutzlasten entdeckt. Dazu gehören ein benutzerdefinierter Screenshot-Grabber, das Cobalt Strike Beacon-Tool, das häufig von Cyberkriminellen missbraucht wird, und Metasploit, ein modulares Framework, das für zahlreiche aufdringliche Zwecke verwendet werden kann.

Angriffsdetails

Durch die Kombination der eingesetzten Bedrohungen kann Harvester verschiedene schädliche Aktionen ausführen. Es kann Fotos vom Bildschirm des Systems aufnehmen, die dann in einer passwortgeschützten ZIP-Datei gespeichert werden. Die Datei wird dann in die Command-and-Control-Infrastruktur (C2, C&C) der Operation exfiltriert. Über das Cobalt Strike Beacon können die Cyberkriminellen beliebige Befehle ausführen, das Dateisystem manipulieren, Dateien sammeln, Prozesse starten oder beenden und vieles mehr.

Auf der anderen Seite ermöglicht Metasploit ihnen, eine Privilegieneskalation zu erreichen, einen Persistenzmechanismus für ihre Hintertür, Bildschirmaufnahmen usw. einzurichten. Um die Kommunikation zwischen den bereitgestellten Bedrohungen und den C2-Servern zu verbergen, versucht Harvester, den abnormalen ausgehenden Datenverkehr mit dem normalen Netzwerkverkehr der kompromittierten Organisation zu mischen, indem er die legitime CloudFront- und Microsoft-Infrastruktur nutzt.