一個被研究人員稱為 “Harvester”的高級持續(xù)性威脅（APT）組織正在攻擊電信公司、IT公司和政府部門，該活動自今年6月以來一直在進行。

　　根據(jù)賽門鐵克的分析，該組織擁有非常先進的攻擊方式和定制的工具，并且在阿富汗和該地區(qū)的其他地方開展間諜活動。

　　截至今年10月，該活動還仍在進行，希望滲透竊取出大量的敏感數(shù)據(jù)。

　　一系列的攻擊工具

　　賽門鐵克發(fā)現(xiàn)，Harvester已經(jīng)投資并研發(fā)了一系列的攻擊工具，主要用于繞過組織的防御系統(tǒng)，比如定制的后門“Graphon ”。

　　Graphon一般會與一個屏幕截圖收集工具和其他的惡意軟件工具下載器一起部署，同時還有遠程訪問功能和數(shù)據(jù)過濾功能。

　　賽門鐵克稱，我們不知道Harvester最初用來入侵受害者網(wǎng)絡的感染載體是什么，但我們在受害者的機器上發(fā)現(xiàn)的Harvester活動的第一個證據(jù)是一個惡意的URL，該攻擊組織隨后開始部署了各種工具，其中包括其定制的Graphon后門，這樣可以獲得對網(wǎng)絡的遠程訪問權限。

　　該APT組織還試圖通過使用合法的CloudFront和微軟基礎設施進行指揮和控制（C2）攻擊來避免載體被發(fā)現(xiàn)，使其在合法的網(wǎng)絡流量中不被發(fā)現(xiàn)。

　　Harvester使用的主要工具如下：

　　Graphon: 這是一個自定義的后門，它使用微軟的基礎設施進行C2攻擊活動。據(jù)賽門鐵克稱，它被編譯成了一個。NET PE DLL。當它在執(zhí)行時，它允許 “Harvester” 操作員運行命令，控制其輸入流，并捕獲輸出流和錯誤流。據(jù)研究人員分析，他們還會定期向C2服務器發(fā)送GET請求，任何返回的信息內(nèi)容都會被提取出來，然后再刪除掉。同時cmd.exe會將從輸出流和錯誤流中提取的數(shù)據(jù)進行加密并發(fā)送給攻擊者的服務器。

　　自定義的下載器：根據(jù)研究，這也是在利用微軟的基礎設施進行C2活動，而且它還利用了一個很有趣的規(guī)避策略：在注冊表中為惡意軟件創(chuàng)建一個新的加載點。加載點是文件系統(tǒng)和注冊表內(nèi)的一個位置，主要用于加載應用程序和相關文件。然后，它會在自己的界面內(nèi)打開一個嵌入式網(wǎng)絡瀏覽器。研究人員指出，雖然最初這個URL看起來可能是Backdoor.Graphon的一個加載點，但經(jīng)過進一步調(diào)查發(fā)現(xiàn)，它似乎只是一個誘餌。

　　自定義的屏幕捕捉工具：這個工具會定期將屏幕截圖保存到一個文件中。并將它們保存在一個有密碼保護的。ZIP檔案中，這樣就可以很輕松的對數(shù)據(jù)進行滲透，所有超過一周的檔案都會被刪除。

　　Cobalt Strike Beacon：這是一個商業(yè)化的、現(xiàn)成的滲透測試工具，它允許紅隊進行模擬攻擊。越來越多網(wǎng)絡犯罪分子將其用于網(wǎng)絡犯罪，其中包括在企業(yè)環(huán)境中進行橫向移動，上傳文件，注入或提升權限等等。在Harvester的攻擊過程中，它使用了CloudFront基礎設施進行C2活動。

　　Metasploit: 這是另一個網(wǎng)絡攻擊者經(jīng)常使用的工具。它是一個模塊化的框架，通常用于權限升級，但它也可以做其他惡意的攻擊，比如捕捉屏幕以及安裝持久性的后門。

　　對于該攻擊的恐懼

　　賽門鐵克團隊還沒有足夠的信息來確定Harvester背后的攻擊人員是誰，但研究人員說，根據(jù)它的一般運作方式，它可能是由一個特定的政府支持的。

　　根據(jù)該公司周一發(fā)布的消息，這些工具的攻擊能力、它們的定制開發(fā)特性和目標受害者群體，都表明Harvester是一個由國家支持的攻擊者。Harvester開展的攻擊活動很明顯地表明這一活動的目的是間諜攻擊活動，這是典型的由國家支持的攻擊活動。

　　雖然該組織在目前的攻擊活動中主要針對的是阿富汗的組織，但它也攻擊了南亞地區(qū)的其他目標。賽門鐵克警告說，各個組織應該對這種惡意活動保持警惕。