Graphon Backdoor, первичный имплант Harvest APT
Graphon Backdoor - это вредоносный имплант, разработка и использование которого приписываются субъекту Harvester Advanced Persistent Threat (APT). Как следует из названия этой киберпреступной группы, они сосредоточены на сборе данных из зараженных сетей своих жертв. Хотя кража информации, по-видимому, является их основной мотивацией, Graphon Backdoor также может выполнять другие задачи в системах, которые он компрометирует. Как правило, Graphon Backdoor поддерживается несколькими настраиваемыми и общедоступными инструментами, которые используют хакеры Harvester APT:
- Пользовательский инструмент для создания снимков экрана, с помощью которого можно делать снимки рабочего стола и определенных окон.
- Треснувший маяк Cobalt Strike Beacon, который может запускать удаленные команды и многое другое.
- Metasploit, настраиваемый фреймворк для эксплойтов.
Последняя кампания Graphon Backdoor все еще активна, и исследователи кибербезопасности все еще собирают информацию о ней. Пока что создается впечатление, что атака нацелена на жертв в Южной Азии и, в частности, в регионе Афганистана. Жертвами атак Graphon Backdoor обычно становятся учреждения и организации, работающие в следующих секторах: правительство, ИТ и телекоммуникации. Что касается вектора заражения, на который рассчитывают злоумышленники - данных пока нет. Однако весьма вероятно, что они полагаются на традиционные методы, такие как использование слабых мест в устаревшем программном обеспечении или адресные фишинговые электронные письма.
Graphon Backdoor использует легальные услуги хостинга
Серверы управления Graphon Backdoor размещены в службе Microsoft Azure. Хотя это может показаться странным, это простой способ смешать вредоносный трафик с легитимным и предотвратить его чрезмерное выделение. Этот имплант может выполнять удаленные команды, а также управлять настраиваемыми инструментами, которые преступники вводят в качестве полезной нагрузки второго уровня. Пока никаких других версий Graphon Backdoor не обнаружено. Организации и компании, которые могут стать целью этих атак, должны обеспечить защиту своей системы с использованием надежного программного обеспечения безопасности и применения последних исправлений безопасности.