Nova APT grupa Leafminer cilja region Bliskog Istoka

Neiskusna, ali ambiciozna grupa koristi sve dostupne alate, tehnike i istraživanja drugih napadača.

Nova APT grupa Leafminer cilja region Bliskog Istoka

Symantec je otkrio novu sajber špijunsku APT grupu koja se zove Leafminer. Grupa je aktivna od 2017. godine. Malver koji ova grupa koristi otkriven je na najmanje 44 računara u različitim zemljama (najviše u Saudijskoj Arabiji, zatim u Libanu, Izraelu i Kuvajtu).

Istraživači ušli na jedan od servera napadača

Stručnjaci iz Symanteca su tokom istraživanja hakerske grupe uspeli da uđu u jedan od njihovih operativnih servera koji je korišćen za phishing i distribuciju malvera. Na serveru su pronašli listu organizacija koje su na meti ove grupe, a pored liste nalazili su se i skenovi kako bi se identifikovale slabe tačke za buduće napade. Na listi se nalaze imena 809 organizacija iz Saudijske Arabije, UAE, Katara, Kuvajta, Bahreina, Egipta, Izraela i Avganistana. Lista je napisana na persijskom jeziku, a organizacije su grupisane po lokaciji i industrijskoj vertikali i pripadaju raziičitim sektorima poput finansija, energetike, avio transporta, državnih institucija itd.

Na pomenutom serveru se takođe nalazilo i 112 fajlova sa malverima, logovima i raznim alatima za napad. Analizom infrastrukture grupe Leafminer otkriveno je da napadači koriste 3 metoda napada:

  1. Kompromitovanje servera watering hole napadima kako bi korisnike prevarili da instaliraju malver.
  2. Skeniranje ranjivih mreža i ubacivanje exploita kako bi se inficirao sistem.
  3. Tzv. dictionary napadi gde napadač pokušava da pogodi kredencijale date mreže, a zatim ubacuje malver u kompromitovani sistem.

Leafminer hakerska grupa

Leafminer APT grupa cilja državne organizacije u regionu Bliskog Istoka od početka 2017. Izvor slike Symantec.

Grupa kontinuirano usvaja nove hakerske trikove

Leafminer grupa ne forsira određeni šablon, već najčešće koristi ono što daje rezultate. To važi i za upotrebu malvera. Imaju svoju varijantu malvera, ali koriste i alate koji već postoje u inficiranom sistemu (eng. living off the land). Takođe, prate dešavanja u sajber bezbednosnim krugovima. Kada je hakerska grupa Shadow Brokers objavila hakerske alate američke nacionalne agencije za bezbednost (NSA), Leafminer je u svoju paletu dodao i jedan od tih alata (FuzzBunch framework). Kada su istraživači otkrili i objasnili tehniku Process Doppelgänging, grupa je i nju integrisala u jedan od svojih napada. Kada je Symantec objavio tehnike Dragonfly grupe, Leafminer je iskoristio jedan od njihovih trikova (metod za krađu hash SMB kredencijala pomoću browsera, nevidljivih image tagova i file:// URL-ova).

Činjenice kažu – Leafminer je neiskusna hakerska grupa

Grupa je iz Irana, a njeni članovi su odlučni u nameri da uče od naprednijih hakerskih grupa, ali i da koriste njihove alate i tehnike. Upravo to što pokazuju veliku želju da uče od drugih, kao i slaba operativna bezbednost, navode na zaključak da se radi o hakerima sa nedovoljno iskustva. Napravili su ogromu grešku kada nisu zaštitili svoj server, čime su svima pokazali koje sve oružje imaju u arsenalu. Njihova velika greška je srećna okolnost za sveopštu sajber bezbednost, jer sada vendori bezbednosnih rešenja mogu bolje zaštititi svoje klijente od napada Leafminer grupe.

Izvor: Symantec