近日，赛门铁克新发现了一个APT组织，称之为“Harvester”，该组织在受害者设备上部署一个名为“Backdoor.Graphon”的定制后门，配合其他工具能实现远程访问、窥探用户活动和窃取数据。该组织还试图通过利用合法的 CloudFront 和 Microsoft 基础设施进行C&C（command and control，命令和控制）活动，将其活动与合法网络流量相结合。

赛门铁克观察到该组织的攻击始于2021年6月，截止10月该组织仍在活动中。攻击目标包括电信、IT企业及政府机构，攻击过程中同时使用了开源工具和自制恶意软件。赛门铁克认为，开源工具和定制开发的功能以及目标受害者都表明，“Harvester”是一个有国家背景的APT组织，且目前主要针对南亚特别是阿富汗的组织发起攻击。

攻击过程如下：

攻击者使用的定制下载程序利用Costura Assembly Loader，部署在受害者设备上，它会检查是否存在以下文件：

[ARTEFACTS_FOLDER]\winser.dll

如果文件不存在，它会从以下 URL 下载副本：

hxxps://outportal[.]azurewebsites.net/api/Values_V2/Getting3210

接下来，创建以下文件若其不存在：

"[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"

然后，它设置以下注册表值以创建loadpoint：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MicrosoftSystemServices" = "[ARTEFACTS_FOLDER]\Microsoft Services[.]vbs"

最后，它使用以下URL在其UI中打开嵌入式Web浏览器：

hxxps://usedust [. ]com

Backdoor.Graphon被编译为.NET PE DLL，导出"Main"和以下 PDB 文件：

D:\OfficeProjects\Updated Working Due to Submission\4.5\Outlook_4.5\Outlook 4.5.2 32 bit New without presistancy\NPServices\bin\x86\Debug\NPServices[.]pdb

当其执行后，它会尝试与在 Microsoft 基础设施上托管的攻击者的 C&C 服务器进行通信。

hxxps://microsoftmsdn[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]

hxxps://microsoftsgraphapi[.]azurewebsites.net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]

hxxps://msdnmicrosoft.azurewebsites[.]net/api/Values_V1/AuthAsyncComplete_V1?Identity=[INFECTION_ID]

然后，攻击者运行命令来控制其输入流并捕获输出和错误流。他们还定期向 C&C 服务器发送GET请求，提取并删除任何返回的信息。

从输出和错误流中提取的cmd.exe数据被加密并发送回攻击者的服务器。

定制截图工具也配备了Costura Assembly Loader。截图工具截下的图片会保存到一个加密的ZIP文件用于渗透，且所有超过一周的文件会被删除。

赛门铁克称，虽然他们没有足够的证据将Harvester的活动归因于特定的国家，但该组织使用的定制后门、为隐藏其恶意活动而采取的措施，以及其所针对的目标都表明它是有国家支持的ATP组织。鉴于阿富汗最近出现的巨大动荡，很难不让人浮想联翩。