BOB(中国)官方入口-BOB电竞APP下载

BOB官方登陆入口 新的APT布局Harvester对电信公司和当局进走抨击

你的位置:BOB(中国)官方入口-BOB电竞APP下载 > BOB官方登陆入口 > BOB官方登陆入口 新的APT布局Harvester对电信公司和当局进走抨击
BOB官方登陆入口 新的APT布局Harvester对电信公司和当局进走抨击
发布日期:2021-10-27 19:30    点击次数:197

一个被钻研人员称为"Harvester"的高级不息性要挟布局正在抨击电信公司、IT公司和当局部分BOB官方登陆入口,该运动自今年6月以不息在进走。

按照赛门铁克的分析,该布局拥有专门先辈的抨击手段和定制的工具,并且在阿富汗和该地区的其他地方开展间谍运动。

截至今年10月,该运动还仍在进走,期待排泄窃掏出大量的敏感数据。

一系列的抨击工具

赛门铁克发现,Harvester已经投资并研发了一系列的抨击工具,主要用于绕过布局的退守体系,比如定制的后门"Graphon"。

Graphon清淡会与一个屏幕截图搜集工具和其他的凶意柔件工具下载器一首安放,同时还有长途访问功能和数据过滤功能。

赛门铁克称,吾们不清新Harvester最初用侵犯受害者网络的感染载体是什么,但吾们在受害者的机器上发现的Harvester运动的第一个证据是一个凶意的URL,该抨击布局随后最先安放了各栽工具,其中包括其定制的Graphon后门,云云能够获得对网络的长途访问权限。

该APT布局还试图议决行使相符法的CloudFront和微柔基础设施进走指挥和限制抨击避免载体被发现BOB官方登陆入口,使其在相符法的网络流量中不被发现。

Harvester行使的主要工具如下:

Graphon:这是一个自定义的后门,它行使微柔的基础设施进走C2抨击运动。据赛门铁克称,它被译成了一个.NETPEDLL。当它在实走时,它批准"Harvester"操作员运走命令,限制其输入流,并捕获输出流和舛讹流。据钻研人员分析,他们还会按期向C2服务器发送GET乞求,任何返回的新闻内容都会被挑掏出,然后再删除失踪。同时cmd.exe会将从输出流和舛讹流中挑取的数据进走添密并发送给抨击者的服务器。

自定义的下载器:按照钻研,这也是在行使微柔的基础设施进走C2运动,而且它还行使了一个很兴趣的规避策略:在注册外中为凶意柔件创建一个新的添载点。添载点是文件体系和注册外内的一个位置,主要用于添载行使程序和有关文件。然后,BOB官方登陆入口它会在本身的界面内掀开一个嵌入式网络涉猎器。钻研人员指出固然最初这个URL望首能够是Backdoor.Graphon的一个添载点但经过进一步调查发现它益像只是一个诱饵。

自定义的屏幕捕捉工具:这个工具会按期将屏幕截图保存到一个文件中。并将它们保存在一个有暗号珍惜的.ZIP档案中云云就能够很轻盈的对数据进走排泄一切超过一周的档案都会被删除。

CobaltStrikeBeacon:这是一个商业化的、现成的排泄测试工具它批准红队进走模拟抨击。越越众网络作恶分子将其用于网络作恶其中包括在企业环境中进走横向移动上传文件注入或升迁权限等等。在Harvester的抨击过程中它行使了CloudFront基础设施进走C2运动。

Metasploit:这是另一个网络抨击者频繁行使的工具。它是一个模块化的框架清淡用于权限升级但它也能够做其他凶意的抨击比如捕捉屏幕以及安设持久性的后门。

对于该抨击的恐惧

赛门铁克团队还异国有余的新闻确定Harvester背后的抨击人员是谁但钻研人员说按照它的清淡运作手段它能够是由一个特定的当局声援的。

按照该公司周一发布的新闻这些工具的抨击能力、它们的定制开发特性和现在标受害者群体都外明Harvester是一个由国家声援的抨击者。Harvester开展的抨击运动很清晰地外明这一运动的方针是间谍抨击运动这是典型的由国家声援的抨击运动。

固然该布局在现在的抨击运动中主要针对的是阿富汗的布局但它也抨击了南亚地区的其他现在标。赛门铁克警告说各个布局答该对这栽凶意运动保持警惕。

本文翻译自:https://threatpost.com/apt-harvester-telco-government-data/175585/如若转载请注解原文地址。

鸿蒙官方战略配相符共建——HarmonyOS技术社区 Linux体系中成功恢复已删除的文件 别的程序员都有NFT了老铁你等啥呢? 网络坦然行家发现经微柔WHQL认证的FiveSys驱动实际上是款凶意程序 对比WiFi6与WiFi5就差在这三项 Windows11最强功能终于了安卓柔件真的能够随意下