Nova APT grupa Leafminer cilja region Bliskog Istoka
Neiskusna, ali ambiciozna grupa koristi sve dostupne alate, tehnike i istraživanja drugih napadača.
![Nova APT grupa Leafminer cilja region Bliskog Istoka Nova APT grupa Leafminer cilja region Bliskog Istoka](/images/0/6/7/9/f/0679f1919488d8ceaed99d48089658a4ca8a75b6-1-leafminer.png)
Symantec je otkrio novu sajber špijunsku APT grupu koja se zove Leafminer. Grupa je aktivna od 2017. godine. Malver koji ova grupa koristi otkriven je na najmanje 44 računara u različitim zemljama (najviše u Saudijskoj Arabiji, zatim u Libanu, Izraelu i Kuvajtu).
Istraživači ušli na jedan od servera napadača
Stručnjaci iz Symanteca su tokom istraživanja hakerske grupe uspeli da uđu u jedan od njihovih operativnih servera koji je korišćen za phishing i distribuciju malvera. Na serveru su pronašli listu organizacija koje su na meti ove grupe, a pored liste nalazili su se i skenovi kako bi se identifikovale slabe tačke za buduće napade. Na listi se nalaze imena 809 organizacija iz Saudijske Arabije, UAE, Katara, Kuvajta, Bahreina, Egipta, Izraela i Avganistana. Lista je napisana na persijskom jeziku, a organizacije su grupisane po lokaciji i industrijskoj vertikali i pripadaju raziičitim sektorima poput finansija, energetike, avio transporta, državnih institucija itd.
Na pomenutom serveru se takođe nalazilo i 112 fajlova sa malverima, logovima i raznim alatima za napad. Analizom infrastrukture grupe Leafminer otkriveno je da napadači koriste 3 metoda napada:
- Kompromitovanje servera watering hole napadima kako bi korisnike prevarili da instaliraju malver.
- Skeniranje ranjivih mreža i ubacivanje exploita kako bi se inficirao sistem.
- Tzv. dictionary napadi gde napadač pokušava da pogodi kredencijale date mreže, a zatim ubacuje malver u kompromitovani sistem.
Leafminer APT grupa cilja državne organizacije u regionu Bliskog Istoka od početka 2017. Izvor slike Symantec.
Grupa kontinuirano usvaja nove hakerske trikove
Leafminer grupa ne forsira određeni šablon, već najčešće koristi ono što daje rezultate. To važi i za upotrebu malvera. Imaju svoju varijantu malvera, ali koriste i alate koji već postoje u inficiranom sistemu (eng. living off the land). Takođe, prate dešavanja u sajber bezbednosnim krugovima. Kada je hakerska grupa Shadow Brokers objavila hakerske alate američke nacionalne agencije za bezbednost (NSA), Leafminer je u svoju paletu dodao i jedan od tih alata (FuzzBunch framework). Kada su istraživači otkrili i objasnili tehniku Process Doppelgänging, grupa je i nju integrisala u jedan od svojih napada. Kada je Symantec objavio tehnike Dragonfly grupe, Leafminer je iskoristio jedan od njihovih trikova (metod za krađu hash SMB kredencijala pomoću browsera, nevidljivih image tagova i file:// URL-ova).
Činjenice kažu – Leafminer je neiskusna hakerska grupa
Grupa je iz Irana, a njeni članovi su odlučni u nameri da uče od naprednijih hakerskih grupa, ali i da koriste njihove alate i tehnike. Upravo to što pokazuju veliku želju da uče od drugih, kao i slaba operativna bezbednost, navode na zaključak da se radi o hakerima sa nedovoljno iskustva. Napravili su ogromu grešku kada nisu zaštitili svoj server, čime su svima pokazali koje sve oružje imaju u arsenalu. Njihova velika greška je srećna okolnost za sveopštu sajber bezbednost, jer sada vendori bezbednosnih rešenja mogu bolje zaštititi svoje klijente od napada Leafminer grupe.
Izvor: Symantec