Symantec 发现新黑客组织 Harvester

一个不为人知的国家支持的攻击者正在部署一套新的工具，以攻击南亚的电信供应商和IT公司。

Symantec的研究人员发现了这一组织，并将其命名为Harvester。该组织的目标是从针对IT、电信和政府实体的高度定向间谍活动中收集情报。

Harvester的恶意工具以前从未发现过，这表明这是一个新出现的攻击者。

“Harvester组织在其攻击中使用了定制的恶意软件和公开可用的工具，该攻击始于2021年6月，最近的一次活动出现在2021年10月。目标行业包括电信、政府和信息技术(IT)。

“这些工具的能力，它们的定制开发，以及目标受害者，都表明Harvester是一个有国家支持的组织。”Symantec的研究人员说。

以下是Harvester在攻击中使用的工具:

• Backdoor.Graphon ——自定义后门，它使用微软的基础设施进行C&C活动
• 自定义下载程序——使用微软的基础设施为其C&C活动服务
• 自定义屏幕快照——定期记录屏幕截图到一个文件
• Cobalt Strike Beacon ——使用CloudFront基础设施进行其C&C活动(Cobalt Strike是一种现成的工具，可用于执行命令、注入其他进程、提升当前进程或模拟其他进程，以及上传和下载文件)
• Metasploit——一个现成的模块化框架，可用于完成感染机器上的各种恶意目的，包括特权升级、屏幕捕获、设置持久后门等。

巧妙的技巧和安全的通讯

虽然Symantec的分析师无法找出最初的感染载体，但有一些证据表明，有人使用了恶意URL。

Graphon为攻击者提供了对网络的远程访问，它通过将命令和控制(C2)通信活动与CloudFront和微软基础设施的合法网络流量混淆来隐藏自己的存在。

一个有趣的地方是自定义下载器的工作方式，它在系统上创建必要的文件，为新的加载点添加注册表值，最终在hxxps://usedust[.]com打开嵌入式web浏览器。

虽然这似乎是获取Backdoor.Graphon的地方，参与者只是使用URL作为诱饵，来制造混淆。

自定义截图工具从桌面捕获照片，并将它们保存到一个密码保护的ZIP档案，通过Graphon导出。每个ZIP保存一周，任何比这个时间更久的文件都会被自动删除。

Symantec警告说，Harvester仍然活跃，目前主要针对阿富汗的组织。

尽管研究人员能够对这个新群体的工具进行取样，但他们还没有足够的证据将这种活动归因于某个特定的国家。

消息来源：BleepingComputer，译者：Zoeppo；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc ” 并附上原文链接