Graphon Backdoor, l'implant primaire de Harvest APT
La porte dérobée Graphon est un implant malveillant dont le développement et l'utilisation sont attribués à l'acteur Harvester Advanced Persistent Threat (APT). Comme le nom de ce groupe de cybercriminalité l'indique, leur objectif est de collecter des données à partir des réseaux infiltrés de leurs victimes. Bien que le vol d'informations semble être leur principale motivation, la porte dérobée Graphon est également capable d'exécuter d'autres tâches sur les systèmes qu'elle compromet. En règle générale, la porte dérobée Graphon est assistée par plusieurs outils personnalisés et publics que les pirates de Harvester APT utilisent :
- Un outil de capture d'écran personnalisé qui peut capturer des images du bureau et des fenêtres spécifiques.
- Le Cobalt Strike Beacon fissuré qui peut exécuter des commandes à distance et plus encore.
- Metasploit, un framework d'exploit personnalisé.
La dernière campagne Graphon Backdoor est toujours active et les chercheurs en cybersécurité continuent de recueillir des renseignements à ce sujet. Jusqu'à présent, il semble que l'attaque se concentre sur les victimes en Asie du Sud et, en particulier, dans la région de l'Afghanistan. Les victimes des attaques de Graphon Backdoor sont généralement des institutions et des entités opérant dans les secteurs suivants : gouvernement, informatique et télécommunications. Quant au vecteur d'infection sur lequel s'appuient les criminels, il n'y a pas encore de données. Cependant, il est très probable qu'ils s'appuient sur des méthodes traditionnelles telles que l'exploitation des faiblesses de logiciels obsolètes ou les e-mails de spear phishing.
Graphon Backdoor s'appuie sur des services d'hébergement légitimes
La porte dérobée Graphon a ses serveurs de commande et de contrôle hébergés sur le service Microsoft Azure. Bien que cela puisse sembler étrange, c'est un moyen facile de mélanger le trafic malveillant avec le trafic légitime et de l'empêcher de trop se démarquer. Cet implant est capable d'exécuter des commandes à distance, ainsi que d'utiliser les outils personnalisés que les criminels introduisent en tant que charges utiles de deuxième étape. Jusqu'à présent, aucune autre version du Graphon Backdoor n'a été identifiée. Les entités et les entreprises susceptibles de devenir la cible de ces attaques doivent assurer la protection de leur système en utilisant des logiciels de sécurité réputés et en appliquant les derniers correctifs de sécurité.