Graphon 後門,Harvest APT 的主要植入物
Graphon 後門是一種惡意植入程序,其開發和使用歸因於 Harvester Advanced Persistent Threat (APT) 攻擊者。正如這個網絡犯罪組織的名稱所暗示的那樣,他們的重點是從受害者滲透的網絡中收集數據。儘管竊取信息似乎是他們的主要動機,但 Graphon 後門也能夠在其入侵的系統上執行其他任務。通常,Graphon 後門由 Harvester APT 黑客使用的多種自定義和公共工具輔助:
- 一個自定義截圖工具,可以抓取桌面和特定窗口的圖片。
- 破解的 Cobalt Strike Beacon 可以運行遠程命令等等。
- Metasploit,一個自定義漏洞利用框架。
最新的 Graphon 後門活動仍然活躍,網絡安全研究人員仍在收集有關它的情報。到目前為止,襲擊的重點似乎是南亞,特別是阿富汗地區的受害者。 Graphon 後門攻擊的受害者通常是在以下部門運營的機構和實體——政府、IT 和電信。至於犯罪分子所依賴的感染媒介——目前還沒有數據。但是,他們很可能依賴傳統方法,例如利用過時軟件或魚叉式網絡釣魚電子郵件中的弱點。
Graphon 後門利用合法的託管服務
Graphon 後門的命令和控制服務器託管在 Microsoft Azure 服務上。雖然這可能看起來很奇怪,但這是一種將惡意流量與合法流量混合併防止其過於突出的簡單方法。該植入物能夠執行遠程命令,以及操作犯罪分子作為第二階段有效載荷引入的自定義工具。到目前為止,還沒有發現其他版本的 Graphon 後門。可能成為這些攻擊目標的實體和公司應使用信譽良好的安全軟件並應用最新的安全補丁來確保其係統受到保護。