Harvester APT verfolgt IT- und Regierungsstellen in Südasien
Der Harvester APT scheint eine neu identifizierte Gruppe der Cyberkriminalität zu sein. Ihre Bemühungen konzentrieren sich auf Südasien, aber die meisten ihrer Opfer scheinen in Afghanistan ansässige Unternehmen und Einrichtungen zu sein. Gemessen an den Werkzeugen, auf die sich die Kriminellen verlassen, ist es sehr wahrscheinlich, dass ihr Endziel Spionage und Datendiebstahl ist. Eines der von ihnen verwendeten Signaturimplantate ist eine bisher unentdeckte Hintertür namens Graphoc. Es weist keine Ähnlichkeiten mit Malware auf, die von anderen Advanced Persistent Threat (APT)-Akteuren verwendet wird.
Harvest APT-Hacker verwenden öffentliche und private Hacking-Tools
Die derzeit verfolgte Harvester APT-Kampagne konzentriert sich auf Unternehmen in den Sektoren Telekommunikation, Informationstechnologie und Regierung. Es ist jedoch möglich, dass noch nicht alle Opfer identifiziert wurden. Das Graphon Backdoor-Implantat scheint die Hauptwaffe im Arsenal der Hacker zu sein. Sie haben mit worden , Daten, Spion auf Benutzeraktivitäten durch den Fernzugriff zu extrahieren und auch 3. -Party Dienstprogramme wie Cobalt Streik Beacon und Metasploit laufen.
Es ist erwähnenswert, dass die Kriminellen ihre Command-and-Control-Server auf der legitimen Microsoft Azure-Infrastruktur hosten. Dies ist kein ungewöhnlicher Trick, da er es ihnen ermöglicht, ihren bösartigen Datenverkehr mit legitimem zu mischen und Firewalls zu umgehen – die meisten Netzwerkadministratoren blockieren keine legitimen Dienste wie Microsoft Azure. Es gibt noch nicht genügend Informationen über Harvester APT, aber Forscher vermuten, dass es sich um einen staatlich unterstützten Akteur handeln könnte. Das Herkunftsland ist jedoch noch nicht zu ermitteln. Nicht zuletzt dauert die aktuelle Harvester APT-Angriffskampagne noch an und Unternehmen und Einrichtungen im südasiatischen Raum sollten die notwendigen Maßnahmen ergreifen, um ihre Systeme und Daten zu sichern. Aktuelle, seriöse Antivirensoftware ist bereits in der Lage, die Dateien, Komponenten und Netzwerkverbindungen von Graphon Backdoor zu identifizieren und zu beseitigen.