I conflitti armati si fanno sempre più rari fortunatamente, adesso le guerre si combattono alla tastiera; no non parlo delle litigate su Facebook ma di vere e proprie spie.

Un nuovo attore malevolo, precedentemente sconosciuto, ha fatto la sua comparsa nel panorama degli hacker di stato, prendendo il nome di the harvester. Gli attacchi sono cominciati a giugno 2021, i settori maggiormente colpiti includono telecomunicazioni e governi nel sud est asiatico.

Symantech afferma che la complessità e la raffinatezza degli strumenti utilizzati suggerisce che il gruppo sia finanziato da uno stato.

Fra gli strumenti che utilizza il gruppo annoveriamo:

Backdoor.graphoon  ossia una backdoor personalizzata che utilizza i servizi Microsoft per il Comando & controllo, un Custom Downloader e uno screenshotter fatto in casa mentre fra gli exploit kit più comuni the harvester ha scelto metaspliot e cobalt strike. Quest’ultimo molto di moda fra i gruppi più pericolosi date le sue eccezionali doti offensive. In particolare, permette di iniettare altri processi, fare scalata di privilegi, impersonare altri processi e effettuare l’upload e download di file.

 Symantec non è riuscita a individuare quale sia il vettore iniziale di infezione, ma c’e qualche sospetto che si tratti di un url malevolo utilizzato per la consegna del loro malware personale.

Una volta completata l’infezione Graphon genera un accesso remoto al sistema e si nasconde camuffando il suo traffico verso il C2 con quello legittimo dell’host verso Cloudfront e Microsoft.

Interessante è il metodo con cui lavora il downloader, crea i file necessari sul sistema e aggiunge una chiave di registro per ottenere persistenza, in fine apre un browser embedded che punta all‘indirizzo hxxps://usedust[.]com. Anche se questo può sembrare il punto da cui avviene il download non è che altro che uno specchietto per le allodole. Lo screenshotter memorizza degli screenshot a intervalli di tempo in uno zip crittato che viene inviato attraverso graphon. Ogni zip viene mantenuto per una settimana e poi cancellato automaticamente.

Symantec sostiene che il gruppo è attivo e stia colpendo parecchie organizzazioni in Afghanistan.

Anche se i ricercatori sono riusciti ad individuare qualche strumento del nuovo gruppo, non è possibile associarlo ad una nazione in particolare.

Tweet