マカフィーは9月15日、長期的な攻撃キャンペーン「Harvest(ハーベスト)」に関する分析を発表した。
これは同社のAdvanced Threat Research(ATR)チームとProfessional Services IRチームとの分析によるもので、攻撃キャンペーンHarvestが、長期にわたりデータ流出を引き起したサイバー攻撃であることを明らかにしたもの。
分析では、サイバー攻撃キャンペーンは経験豊富なAPT犯罪者グループによって実行されたと見ており、被害者のネットワークに留まり、政治的・戦略的または製造上の意思決定に必要な情報を盗むことを長期的な目的としているという。
フォレンジック調査によると、攻撃者は被害者のウェブサーバーを侵害して初期アクセスを確立。被害者のネットワークおよびファイルの横方向への移動/実行に関する情報を収集するためのツールの存在と保存を維持するためのソフトウェアをインストール。手法はこの種の攻撃でよく見られるものだが、新種のバックドアや既存のマルウェアファミリーの亜種も使用していることを確認し、カスタムバックドアの独自の暗号化機能の操作方法とDLLで使用されるコードがWinntiマルウェアファミリーに起因することを突き止めた。
攻撃者は、軍事目的や知的財産・製造目的に使用可能な情報を盗むことに関心を持っているという。マカフィーは同社ブログにて現在の分析結果を公開するとともに、より詳細な分析記事も予定しているとのこと。
マカフィーATRは開発ツールの作成と攻撃を追求し、サイバー犯罪グループが北京時間で働いていると分析している
