Harvester APT

これまで知られていなかったAPT（Advanced Persistent Threat）グループの詳細は、脅威研究者による新しいレポートで明らかになりました。ハッカーグループはハーベスタとして追跡されており、その検出された脅迫作戦は、主にアフガニスタンでの南アジアの標的に対するスパイ攻撃で構成されています。対象となる企業は、政府、電気通信、ITなどのいくつかの異なる産業部門に由来します。特にアフガニスタンへの注目は興味深いものであり、アフガニスタンでの存在感を20年間維持した後、米国が軍を撤退させる決定など、アフガニスタンで起こった最近の主要な出来事を念頭に置いています。

現時点では、ハーベスタの活動を支援している正確な国民国家を特定するのに十分なデータはありませんが、グループの攻撃が経済的に動機付けられていない、いくつかの特注の脅迫ツールの使用などの特定の証拠は、ハーベスタが国家であることを示しています-間違いなくサイバー犯罪の衣装を後援しました。

脅迫的なアーセナル

Harvester APTは、カスタムマルウェアと公開されているツールを組み合わせて使用し、侵入先のマシンにバックドアを作成して、そこから情報を吸い上げます。攻撃者が標的となる組織内に足場を確立するための最初の攻撃ベクトルは不明のままです。しかし、その後のハッカーの活動はかなり明確になっています。

まず、侵害されたシステムにカスタムダウンローダーを展開します。次に、マルウェアは次の段階のペイロード、つまりBackdoor.Graphonという名前のカスタムバックドア脅威を配信します。ハーベスターの攻撃の一環として、追加のペイロードも発見されました。これらには、カスタムスクリーンショットグラバー、サイバー犯罪者によって一般的に悪用されるCobalt Strike Beaconツール、および多くの侵入目的に使用できるモジュラーフレームワークであるMetasploitが含まれます。

攻撃の詳細

展開された脅威の組み合わせにより、Harvesterはさまざまな有害なアクションを実行できます。システムの画面の写真をキャプチャして、パスワードで保護されたZIPファイルに保存できます。次に、ファイルは操作のコマンドアンドコントロール（C2、C＆C）インフラストラクチャに転送されます。サイバー犯罪者は、Cobalt Strike Beaconを介して、任意のコマンドの実行、ファイルシステムの操作、ファイルの収集、プロセスの開始または終了などを行うことができます。

一方、Metasploitを使用すると、特権の昇格、バックドアの永続化メカニズムの設定、画面キャプチャなどを行うことができます。展開された脅威とC2サーバー間の通信を隠すために、ハーベスターは異常な発信トラフィックを正当なCloudFrontおよびMicrosoftインフラストラクチャを活用することによる、侵害された組織の通常のネットワークトラフィック。