Symantecs forskare upptäckte en ny nationalstatsstödd hackergrupp vid namn Harvester. Enligt dem använder gruppen en kombination av nya och allmänt tillgängliga verktyg för att överträda mål.
Harvester har setts attackera IT-företag, telekom och kritiska statliga organisationer i södra Asien. Det är smart att distribuera nyttolasten och utföra övervakning i målets maskiner.
En ny nationalstatsstödd hackare
Forskare vid Symantec har upptäckt en ny hackergrupp knuten till ett okänt ursprung. Alla bevis den lämnade matchade inte någon tidigare hackergrupp. Ändå, genom att observera mönstret och utvecklingen av anpassade exploateringsverktyg, drog forskarna slutsatsen att hackargruppen tillhörde någon nationalstat.
Läs också – New York OAG beställde två kryptoutlåningsplattformar för att stoppa verksamheten
De döpte den Skördare och använde en blandning av allmänt tillgängliga och specialutvecklade verktyg enligt nedan;
- Cobalt Strike Beacon – använder CloudFront-infrastruktur för sin C&C-aktivitet. Det här verktyget används för att injicera processer, utföra kommandon, ladda upp och ladda ner filer och identitetsstöld.
- Metasploit är ett modulärt ramverk som används för olika ändamål som privilegieskalering, skärmdump, en beständig bakdörr, etc.
- Bakdörr.Grafon – en anpassad bakdörr som använder Microsofts infrastruktur för sin C&C-aktivitet.
- Custom Downloader – en Microsoft-infrastruktur som används för dess C&C-verksamhet.
- Anpassad skärmdump – används för att logga skärmdumpar till en fil med jämna mellanrum.
Harvester är en relativt ny hackergrupp, som började sin verksamhet i juni i år. Den sista aktiviteten från gruppen upptäcktes nyligen, denna månad, och attackerade organisationer inom telekommunikation, myndigheter och informationsteknologi (IT).
Harvester applåderas för flera knepiga sätt som den använder för att distribuera nyttolasten och dölja den. Det har visat sig att gruppen blandar C2 för att blanda kommandona med legitim nätverkstrafik från CloudFront och Microsofts infrastruktur.
Vidare ses den anpassade nedladdningsaren skapa nödvändiga filer, lägga till ett registervärde för en ny laddningspunkt och öppna en webbplats (hxxps://usedust[.]com) i systemets inbäddade webbläsare.
Alla dessa är gjorda för att förvirra offret, eftersom ingenting dras från den nämnda webbplatsen. Medan forskare ännu inte har upptäckt den första vektorn för Graphon, varnar de organisationer i södra Asien att vara vaksamma på dessa attacker.
