Symantec 发现新黑客组织 Harvester

  • 浏览次数 46094
  • 喜欢 0
  • 评分 12345

一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。

Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。

Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。

“Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。

“这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。

以下是Harvester在攻击中使用的工具:

  • Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动
  • 自定义下载程序——使用微软的基础设施为其C&C活动服务
  • 自定义屏幕快照——定期记录屏幕截图到一个文件
  • Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件)
  • Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。

巧妙的技巧和安全的通讯

虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。

Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。

一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。

虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。

自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。

Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。

尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。

 

消息来源:BleepingComputer,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接