Harvester APT gaat achter IT- en overheidsinstanties in Zuid-Azië aan
De Harvester APT lijkt een nieuw geïdentificeerde cybercriminaliteitsgroep te zijn. Hun inspanningen zijn gericht op Zuid-Azië, maar de meeste van hun slachtoffers blijken bedrijven en entiteiten in Afghanistan te zijn. Afgaande op de tools waarop de criminelen vertrouwen, is het zeer waarschijnlijk dat hun uiteindelijke doel spionage en gegevensdiefstal is. Een van de kenmerkende implantaten die ze gebruiken, is een voorheen onopgemerkte achterdeur genaamd Graphoc. Het heeft geen overeenkomsten met malware die andere Advanced Persistent Threat (APT)-actoren gebruiken.
Harvest APT-hackers gebruiken openbare en particuliere hacktools
De momenteel gevolgde Harvester APT-campagne richt zich op entiteiten in de sectoren telecommunicatie, informatietechnologie en de overheid. Het is echter mogelijk dat nog niet alle slachtoffers zijn geïdentificeerd. Het Graphon Backdoor-implantaat lijkt het primaire wapen in het arsenaal van hackers. Ze zijn te gebruiken om gegevens bespioneren activiteiten van de gebruiker te halen door middel van toegang op afstand, en lopen ook 3 e -party nutsvoorzieningen zoals Cobalt Strike Beacon en Metasploit.
Het is vermeldenswaard dat de criminelen hun command-and-control-servers hosten op de legitieme Microsoft Azure-infrastructuur. Dit is geen ongebruikelijke truc, omdat het hen in staat stelt om hun kwaadaardig verkeer te mengen met legitiem verkeer en om firewalls heen te gaan - de meeste netwerkbeheerders blokkeren geen legitieme services zoals Microsoft Azure. Er is nog niet genoeg informatie over Harvester APT, maar onderzoekers vermoeden dat dit een door de staat gesteunde acteur zou kunnen zijn. Het land van herkomst is echter nog niet te achterhalen. Last but not least, de huidige Harvester APT-aanvalscampagne is nog steeds aan de gang en bedrijven en entiteiten in de Zuid-Aziatische regio moeten de nodige maatregelen nemen om hun systemen en gegevens te beveiligen. Up-to-date, gerenommeerde antivirussoftware is al in staat om de bestanden, componenten en netwerkverbindingen van de Graphon Backdoor te identificeren en te elimineren.