日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
新的APT組織Harvester對電信公司和政府進(jìn)行攻擊

一個被研究人員稱為 "Harvester"的高級持續(xù)性威脅(APT)組織正在攻擊電信公司、IT公司和政府部門,該活動自今年6月以來一直在進(jìn)行。

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供宜賓網(wǎng)站建設(shè)、宜賓做網(wǎng)站、宜賓網(wǎng)站設(shè)計、宜賓網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、宜賓企業(yè)網(wǎng)站模板建站服務(wù),10年宜賓做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

根據(jù)賽門鐵克的分析,該組織擁有非常攻擊方式和定制的工具,并且在阿富汗和該地區(qū)的其他地方開展間諜活動。

截至今年10月,該活動還仍在進(jìn)行,希望滲透竊取出大量的敏感數(shù)據(jù)。

一系列的攻擊工具

賽門鐵克發(fā)現(xiàn),Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具,主要用于繞過組織的防御系統(tǒng),比如定制的后門"Graphon "。

Graphon一般會與一個屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署,同時還有遠(yuǎn)程訪問功能和數(shù)據(jù)過濾功能。

賽門鐵克稱,我們不知道Harvester最初用來入侵受害者網(wǎng)絡(luò)的感染載體是什么,但我們在受害者的機(jī)器上發(fā)現(xiàn)的Harvester活動的第一個證據(jù)是一個惡意的URL,該攻擊組織隨后開始部署了各種工具,其中包括其定制的Graphon后門,這樣可以獲得對網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)限。

該APT組織還試圖通過使用合法的CloudFront和微軟基礎(chǔ)設(shè)施進(jìn)行指揮和控制(C2)攻擊來避免載體被發(fā)現(xiàn),使其在合法的網(wǎng)絡(luò)流量中不被發(fā)現(xiàn)。

Harvester使用的主要工具如下:

Graphon: 這是一個自定義的后門,它使用微軟的基礎(chǔ)設(shè)施進(jìn)行C2攻擊活動。據(jù)賽門鐵克稱,它被編譯成了一個.NET PE DLL。當(dāng)它在執(zhí)行時,它允許 "Harvester" 操作員運(yùn)行命令,控制其輸入流,并捕獲輸出流和錯誤流。據(jù)研究人員分析,他們還會定期向C2服務(wù)器發(fā)送GET請求,任何返回的信息內(nèi)容都會被提取出來,然后再刪除掉。同時cmd.exe會將從輸出流和錯誤流中提取的數(shù)據(jù)進(jìn)行加密并發(fā)送給攻擊者的服務(wù)器。

自定義的下載器:根據(jù)研究,這也是在利用微軟的基礎(chǔ)設(shè)施進(jìn)行C2活動,而且它還利用了一個很有趣的規(guī)避策略:在注冊表中為惡意軟件創(chuàng)建一個新的加載點(diǎn)。加載點(diǎn)是文件系統(tǒng)和注冊表內(nèi)的一個位置,主要用于加載應(yīng)用程序和相關(guān)文件。然后,它會在自己的界面內(nèi)打開一個嵌入式網(wǎng)絡(luò)瀏覽器。研究人員指出,雖然最初這個URL看起來可能是Backdoor.Graphon的一個加載點(diǎn),但經(jīng)過進(jìn)一步調(diào)查發(fā)現(xiàn),它似乎只是一個誘餌。

自定義的屏幕捕捉工具:這個工具會定期將屏幕截圖保存到一個文件中。并將它們保存在一個有密碼保護(hù)的.ZIP檔案中,這樣就可以很輕松的對數(shù)據(jù)進(jìn)行滲透,所有超過一周的檔案都會被刪除。

Cobalt Strike Beacon:這是一個商業(yè)化的、現(xiàn)成的滲透測試工具,它允許紅隊(duì)進(jìn)行模擬攻擊。越來越多網(wǎng)絡(luò)犯罪分子將其用于網(wǎng)絡(luò)犯罪,其中包括在企業(yè)環(huán)境中進(jìn)行橫向移動,上傳文件,注入或提升權(quán)限等等。在Harvester的攻擊過程中,它使用了CloudFront基礎(chǔ)設(shè)施進(jìn)行C2活動。

Metasploit: 這是另一個網(wǎng)絡(luò)攻擊者經(jīng)常使用的工具。它是一個模塊化的框架,通常用于權(quán)限升級,但它也可以做其他惡意的攻擊,比如捕捉屏幕以及安裝持久性的后門。

對于該攻擊的恐懼

賽門鐵克團(tuán)隊(duì)還沒有足夠的信息來確定Harvester背后的攻擊人員是誰,但研究人員說,根據(jù)它的一般運(yùn)作方式,它可能是由一個特定的政府支持的。

根據(jù)該公司周一發(fā)布的消息,這些工具的攻擊能力、它們的定制開發(fā)特性和目標(biāo)受害者群體,都表明Harvester是一個由國家支持的攻擊者。Harvester開展的攻擊活動很明顯地表明這一活動的目的是間諜攻擊活動,這是典型的由國家支持的攻擊活動。

雖然該組織在目前的攻擊活動中主要針對的是阿富汗的組織,但它也攻擊了南亞地區(qū)的其他目標(biāo)。賽門鐵克警告說,各個組織應(yīng)該對這種惡意活動保持警惕。

本文翻譯自:https://threatpost.com/apt-harvester-telco-government-data/175585/如若轉(zhuǎn)載,請注明原文地址。


文章題目:新的APT組織Harvester對電信公司和政府進(jìn)行攻擊
網(wǎng)頁路徑:http://www.5511xx.com/article/dpcodij.html