グラフォンバックドア、APTの主要なインプラントを収穫
Graphon Backdoorは悪意のあるインプラントであり、その開発と使用はHarvester Advanced Persistent Threat(APT)アクターに起因します。このサイバー犯罪グループの名前が示すように、彼らの焦点は、被害者の侵入したネットワークからデータを収集することにあります。情報を盗むことが彼らの主な動機であるように見えますが、Graphon Backdoorは、侵害したシステムで他のタスクを実行することもできます。通常、Graphon Backdoorは、HarvesterAPTハッカーが使用する複数のカスタムツールとパブリックツールによって支援されます。
- デスクトップと特定のウィンドウの写真を取得できるカスタムスクリーンショットツール。
- リモートコマンドなどを実行できるひびの入ったコバルトストライクビーコン。
- Metasploit、カスタムエクスプロイトフレームワーク。
最新のGraphonBackdoorキャンペーンはまだ活発であり、サイバーセキュリティ研究者はまだそれに関する情報を収集しています。これまでのところ、攻撃は南アジア、特にアフガニスタン地域の犠牲者に焦点を当てているようです。グラフォンバックドア攻撃の被害者は、通常、政府、IT、電気通信の各セクターで活動している機関や団体です。犯罪者が依存している感染ベクトルについては、まだデータがありません。ただし、古いソフトウェアの弱点を悪用したり、フィッシングメールを槍で攻撃したりするなど、従来の方法に依存している可能性が非常に高いです。
グラフォンバックドアは合法的なホスティングサービスを活用します
Graphon Backdoorには、MicrosoftAzureサービスでホストされているコマンドアンドコントロールサーバーがあります。これは奇妙に思えるかもしれませんが、悪意のあるトラフィックを正当なトラフィックと混合し、目立たないようにする簡単な方法です。このインプラントは、リモートコマンドを実行できるだけでなく、犯罪者が第2段階のペイロードとして導入したカスタムツールを操作することもできます。これまでのところ、GraphonBackdoorの他のバージョンは特定されていません。これらの攻撃の標的になる可能性のあるエンティティや企業は、信頼できるセキュリティソフトウェアを使用し、最新のセキュリティパッチを適用して、システムを確実に保護する必要があります。