Graphon Backdoor, pierwotny implant Harvest APT
Graphon Backdoor to złośliwy implant, którego rozwój i wykorzystanie przypisuje się aktorowi Harvester Advanced Persistent Threat (APT). Jak wskazuje nazwa tej grupy cyberprzestępczej, jej celem jest zbieranie danych z infiltrowanych sieci swoich ofiar. Chociaż kradzież informacji wydaje się być ich główną motywacją, Backdoor Graphon jest również w stanie wykonywać inne zadania w systemach, które kompromituje. Zazwyczaj Backdoor Graphon jest wspomagany przez wiele niestandardowych i publicznych narzędzi, z których korzystają hakerzy Harvester APT:
- Niestandardowe narzędzie do zrzutów ekranu, które może pobierać zdjęcia pulpitu i określonych okien.
- Złamany Cobalt Strike Beacon, który może uruchamiać zdalne polecenia i nie tylko.
- Metasploit, niestandardowa platforma exploitów.
Najnowsza kampania Graphon Backdoor jest nadal aktywna, a badacze cyberbezpieczeństwa wciąż zbierają informacje na jej temat. Jak dotąd wydaje się, że atak koncentruje się na ofiarach w Azji Południowej, a zwłaszcza w regionie Afganistanu. Ofiarami ataków Graphon Backdoor są zazwyczaj instytucje i podmioty działające w sektorach – rządowym, IT i telekomunikacyjnym. Jeśli chodzi o wektor infekcji, na którym polegają przestępcy – nie ma jeszcze danych. Jednak jest bardzo prawdopodobne, że polegają na tradycyjnych metodach, takich jak wykorzystywanie słabości przestarzałego oprogramowania lub wiadomości e-mail typu spear phishing.
Graphon Backdoor wykorzystuje legalne usługi hostingowe
Graphon Backdoor ma swoje serwery dowodzenia i kontroli hostowane w usłudze Microsoft Azure. Choć może się to wydawać dziwne, jest to łatwy sposób na mieszanie złośliwego ruchu z legalnym i zapobieganie jego wyróżnianiu się. Implant ten jest w stanie wykonywać zdalne polecenia, a także obsługiwać niestandardowe narzędzia, które przestępcy wprowadzają jako ładunki drugiego stopnia. Jak dotąd nie zidentyfikowano żadnych innych wersji Graphon Backdoor. Podmioty i firmy, które mogą stać się celem tych ataków, powinny zapewnić ochronę swojego systemu za pomocą renomowanego oprogramowania zabezpieczającego i stosując najnowsze łaty bezpieczeństwa.