编辑：左右里近日，赛门铁克新发现了一个APT组织，称之为“Harvester”，该组织在受害者设备上部署一个名为“Backdoor.Graphon”的定制后门，配合其他工具能实现远程访问、窥探用户活动和窃取数据。
该组织还试图通过利用合法的 CloudFront 和 Microsoft 基础设施进行C&C（command and control，命令和控制）活动，将其活动与合法网络流量相结合。
赛门铁克观察到该组织的攻击始于2021年6月，截止10月该组织仍在活动中。
攻击目标包括电信、IT企业及政府机构，攻击过程中同时使用了开源工具和自制恶意软件。
赛门铁克认为，开源工具和定制开发的功能以及目标受害者都表明，“Harvester”是一个有国家背景的APT组织，且目前主要针对南亚特别是阿富汗的组织发起攻击。
攻击过程如下：攻击者使用的定制下载程序利用Costura Assembly Loader，部署在受害者设备上，它会检查是否存在以下文件：[ARTEFACTS_FOLDER]winser.dll如果文件不存在，它会从以下 URL 下载副本：hxxps://outportal[.]azurewebsites.net/api/Values_V2/Getting3210接下来，创建以下文件若其不存在："[ARTEFACTS_FOLDER]Microsoft Services[.]vbs"然后，它设置以下注册表值以创建loadpoint：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun"MicrosoftSystemServices" = "[ARTEFACTS_FOLDER]Microsoft Services[.]vbs"最后，它使用以下URL在其UI中打开嵌入式Web浏览器：hxxps://usedust [. ]comBackdoor.Graphon被编译为.NET PE DLL，导出"Main"和以下 PDB 文件：D:OfficeProjectsUpdated Working Due to Submission4.5Outlook_4.5Outlook 4.5.2 32 bit New without presistancyNPServicesbinx86DebugNPServices[.]pdb当其执行后，它会尝试与在 Microsoft 基础设施上托管的攻击者的 C&C 服务器进行通信。
hxxps://microsoftmsdn[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]hxxps://microsoftsgraphapi[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]hxxps://msdnmicrosoft.azurewebsites[.]net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]然后，攻击者运行命令来控制其输入流并捕获输出和错误流。
他们还定期向 C&C 服务器发送GET请求，提取并删除任何返回的信息。
从输出和错误流中提取的cmd.exe数据被加密并发送回攻击者的服务器。
定制截图工具也配备了Costura Assembly Loader。
截图工具截下的图片会保存到一个加密的ZIP文件用于渗透，且所有超过一周的文件会被删除。
赛门铁克称，虽然他们没有足够的证据将Harvester的活动归因于特定的国家，但该组织使用的定制后门、为隐藏其恶意活动而采取的措施，以及其所针对的目标都表明它是有国家支持的ATP组织。
鉴于阿富汗最近出现的巨大动荡，很难不让人浮想联翩。
资讯