Graphon Backdoor, Harvest APT: s primära implantat
Graphon Backdoor är ett skadligt implantat vars utveckling och användning tillskrivs skådespelaren Harvester Advanced Persistent Threat (APT). Som namnet på denna cyberbrottsgrupp antyder är deras fokus på att samla in data från deras infiltrerade nätverk. Även om stjäl information verkar vara deras främsta motivation, kan Graphon Backdoor också utföra andra uppgifter på de system som det äventyrar. Normalt får Graphon Backdoor hjälp av flera anpassade och offentliga verktyg som Harvester APT -hackarna använder:
- Ett anpassat skärmdumpverktyg som kan ta bilder av skrivbordet och specifika fönster.
- Den spruckna Cobalt Strike Beacon som kan köra fjärrkommandon med mera.
- Metasploit, en anpassad exploateringsram.
Den senaste Graphon Backdoor -kampanjen är fortfarande aktiv, och cybersäkerhetsforskare samlar fortfarande in information om det. Hittills verkar det som om attacken fokuserar på offren i Sydasien och i synnerhet Afghanistan -regionen. Offren för Graphon Backdoor -attackerna är vanligtvis institutioner och enheter som verkar inom följande sektorer - myndigheter, IT och telekommunikation. När det gäller infektionsvektorn som de kriminella förlitar sig på - det finns inga data ännu. Det är dock mycket troligt att de förlitar sig på traditionella metoder som att utnyttja svagheter i föråldrad programvara eller e -postmeddelanden om nätfiske.
Graphon Backdoor utnyttjar legitima värdtjänster
Graphon Backdoor har sina kommando- och kontrollservrar som finns på Microsoft Azure-tjänsten. Även om detta kan verka konstigt är det ett enkelt sätt att blanda den ondsinnade trafiken med den legitima trafiken och förhindra att den sticker ut för mycket. Detta implantat kan utföra fjärrkommandon, samt att använda de anpassade verktygen som kriminella introducerar som nyttolast i andra steget. Hittills har inga andra versioner av Graphon Backdoor identifierats. Enheter och företag som sannolikt kommer att bli målet för dessa attacker bör säkerställa sitt systems skydd med användning av välrenommerad säkerhetsprogramvara och tillämpa de senaste säkerhetsuppdateringarna.