一个不为人知的国家支持的攻击者正在部署一套新的工具,以攻击南亚的电信供应商和IT公司。
Symantec的研究人员发现了这一组织,并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。
Harvester的恶意工具以前从未发现过,这表明这是一个新出现的攻击者。
“Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具,该攻击始于2021年6月,最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。
“这些工具的能力,它们的定制开发,以及目标受害者,都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。
以下是Harvester在攻击中使用的工具:
- Backdoor.Graphon ——自定义后门,它使用微软的基础设施进行C&C活动
- 自定义下载程序——使用微软的基础设施为其C&C活动服务
- 自定义屏幕快照——定期记录屏幕截图到一个文件
- Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具,可用于执行命令、注入其他进程、提升当前进程或模拟其他进程,以及上传和下载文件)
- Metasploit——一个现成的模块化框架,可用于完成感染机器上的各种恶意目的,包括特权升级、屏幕捕获、设置持久后门等。
巧妙的技巧和安全的通讯
虽然Symantec的分析师无法找出最初的感染载体,但有一些证据表明,有人使用了恶意URL。
Graphon为攻击者提供了对网络的远程访问,它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。
一个有趣的地方是自定义下载器的工作方式,它在系统上创建必要的文件,为新的加载点添加注册表值,最终在hxxps://usedust[.]com打开嵌入式web浏览器。
虽然这似乎是获取Backdoor.Graphon的地方,参与者只是使用URL作为诱饵,来制造混淆。
自定义截图工具从桌面捕获照片,并将它们保存到一个密码保护的ZIP档案,通过Graphon导出。每个ZIP保存一周,任何比这个时间更久的文件都会被自动删除。
Symantec警告说,Harvester仍然活跃,目前主要针对阿富汗的组织。
尽管研究人员能够对这个新群体的工具进行取样,但他们还没有足够的证据将这种活动归因于某个特定的国家。
消息来源:BleepingComputer,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接