Graphon Backdoor, az APT elsődleges implantátumának betakarítása
A Graphon Backdoor egy rosszindulatú implantátum, amelynek kifejlesztését és használatát a Harvester Advanced Persistent Threat (APT) színészének tulajdonítják. Ennek a számítógépes bűnözéssel foglalkozó csoportnak a neve utal arra, hogy az áldozatok beszivárgott hálózataiból származó adatok gyűjtésére összpontosítanak. Bár az információk ellopása tűnik elsődleges motivációjuknak, a Graphon Backdoor más feladatokat is képes végrehajtani az általa veszélyeztetett rendszereken. A Graphon Backdoor -t általában több egyéni és nyilvános eszköz segíti, amelyeket a Harvester APT hackerek használnak:
- Egyéni képernyőkép -eszköz, amely képes megragadni az asztali és bizonyos ablakok képeit.
- A repedt Cobalt Strike Beacon, amely távoli parancsokat futtathat és így tovább.
- Metasploit, egyéni kihasználási keretrendszer.
A legújabb Graphon Backdoor kampány még mindig aktív, és a kiberbiztonsági kutatók még mindig gyűjtenek információkat erről. Egyelőre úgy tűnik, hogy a támadás a dél -ázsiai és különösen az afganisztáni régió áldozataira összpontosít. A Graphon Backdoor támadások áldozatai jellemzően a következő szektorokban működő intézmények és szervezetek - kormányzat, informatika és távközlés. Ami a fertőző vektort illeti, amelyre a bűnözők támaszkodnak - egyelőre nincs adat. Nagyon valószínű azonban, hogy hagyományos módszerekre támaszkodnak, például az elavult szoftverek gyengeségeinek kiaknázására vagy a lándzsás adathalász e -mailekre.
A Graphon Backdoor törvényes tárhelyszolgáltatásokat használ
A Graphon Backdoor parancs- és vezérlőkiszolgálói a Microsoft Azure szolgáltatásban találhatók. Bár ez furcsának tűnhet, egyszerű módja annak, hogy összekeverjük a rosszindulatú forgalmat a jogos forgalommal, és megakadályozzuk, hogy túlságosan kiemelkedjen. Ez az implantátum képes távoli parancsok végrehajtására, valamint az egyéni eszközök működtetésére, amelyeket a bűnözők a második szakasz hasznos terheléseként vezetnek be. Eddig a Graphon Backdoor más verzióit nem azonosították. Azoknak a szervezeteknek és vállalatoknak, amelyek valószínűleg ezeknek a támadásoknak a célpontjai lesznek, biztosítaniuk kell rendszerük védelmét jó hírű biztonsági szoftverek használatával és a legújabb biztonsági javítások alkalmazásával.