Graphon 后门,Harvest APT 的主要植入物
Graphon 后门是一种恶意植入程序,其开发和使用归因于 Harvester Advanced Persistent Threat (APT) 攻击者。正如这个网络犯罪组织的名称所暗示的那样,他们的重点是从受害者渗透的网络中收集数据。尽管窃取信息似乎是他们的主要动机,但 Graphon 后门也能够在其入侵的系统上执行其他任务。通常,Graphon 后门由 Harvester APT 黑客使用的多种自定义和公共工具辅助:
- 一个自定义截图工具,可以抓取桌面和特定窗口的图片。
- 破解的 Cobalt Strike Beacon 可以运行远程命令等等。
- Metasploit,一个自定义漏洞利用框架。
最新的 Graphon 后门活动仍然活跃,网络安全研究人员仍在收集有关它的情报。到目前为止,袭击的重点似乎是南亚,特别是阿富汗地区的受害者。 Graphon 后门攻击的受害者通常是在以下部门运营的机构和实体——政府、IT 和电信。至于犯罪分子所依赖的感染媒介——目前还没有数据。但是,他们很可能依赖传统方法,例如利用过时软件或鱼叉式网络钓鱼电子邮件中的弱点。
Graphon 后门利用合法的托管服务
Graphon 后门的命令和控制服务器托管在 Microsoft Azure 服务上。虽然这可能看起来很奇怪,但这是一种将恶意流量与合法流量混合并防止其过于突出的简单方法。该植入物能够执行远程命令,以及操作犯罪分子作为第二阶段有效载荷引入的自定义工具。到目前为止,还没有发现其他版本的 Graphon 后门。可能成为这些攻击目标的实体和公司应使用信誉良好的安全软件并应用最新的安全补丁来确保其系统受到保护。