Firma Symantec odkryła działalność cyberprzestępczej grupy o nazwie Leafminer, której ataki od początku 2017 roku są ukierunkowane na organizacje rządowe, finansowe, petrochemiczne, transportowe, lotnicze, energetyczne, bezpieczeństwa i inne w krajach Bliskiego Wschodu. Najbardziej oberwało się Arabii Saudyjskiej, Izraelowi, Katarowi, Kuwejtowi, Egiptowi i innym państwom, które są zlokalizowane w tym regionie geograficznym.

W raporcie czytamy, że grupa Leafminer dostosowuje swoje techniki i narzędzia do wybranego celu, i co ciekawe, większość wykrytego przez Symantec oprogramowania, które jest wykorzystywane do ataków i eksfiltracji, to dobrze znane użytkownikom Githuba otwarto-źródłowe narzędzia, które są dostępne dla obu stron konfliktu.

Podczas śledztwa eksperci dotarli do serwera hostującego ponad 100 katalogów, który był słabo zabezpieczony. Strona zawierała modyfikację webshella tylnej furtki w PHP (PhpSpy), którego autorem prawdopodobnie był użytkownik MagicCoder. Z kolei MagicCoder prowadzi do irańskiego forum hakerskiego Ashiyane, a także do zinfiltrowanej grupy hakerów Sun Army.

Oprócz złośliwego oprogramowania znaleziono tam narzędzia i pliki dzienników, które zawierały informacje pochodzące ze skanowania podatności celów. Grupa hakerów Leafminer najwyraźniej ma tendencję do wykorzystywania publicznie dostępnych narzędzi, w tym opublikowanych PoC exploitów. Wśród technik ataków wymieniane są:

  • Taktyki ataku polegające na zainfekowaniu często odwiedzanej strony internetowej przez ofiary (taktyka wodopoju).
  • Techniki i narzędzia do skanowania wystawionych na świat usług sieciowych.
  • Próby przełamywania poświadczeń popularnym brute-force’m (słowników z loginami i hasłami po ostatnich wyciekach danych nie brakuje).

Symantec twierdzi, że kod, który został użyty w jednym z ataków, prowadzi do zhackowanego serwera internetowego w domenie „e-qht.az”. Jest to strona Rady ds. Wsparcia Azerbejdżanu, która była używana do dystrybucji szkodników. Dalej zidentyfikowano dwa rodzaje szkodliwego oprogramowania (Trojan.Imecab i Backdoor.Sorgu), które są używane przez grupę Leafminer, w tym biblioteki DLL jako droppery lub programy wykonujące określone polecenia w zainfekowanym systemie. Znaleziono także legalne pliki instalacyjne .NET Framework 2.0 SP2, które były wymagane do uruchamiania zmodyfikowanych narzędzi — wśród nich znajdują takie, które służą do:

  • podwyższania uprawnień (MSF Retto Potato),
  • wyszukiwania poświadczeń (Mimikatz),
  • ataków słownikowych (TCH Hydra),
  • zdalnego uruchamiania komend (SysInternals PsExec),
  • skanowania podatności (Router Scan),
  • wyodrębniania załączników z plików pocztowych EML (Sobolsoft Extract Attachments),
  • eksportowania baz danych SQL (SysTool SQL Backup Recovery),
  • klonowania dysków (Disk Backup),
  • przeszukiwania plików na pulpicie (Vidtools Everything).

hakerskie narzędzia

Użytkowników oraz firmy zachęcamy do zapoznania się z naszym praktycznym poradnikiem zabezpieczenia komputerów. Każdy znajdzie tam coś ciekawego, w tym informacje jak monitorować krytyczne obszary systemowe na wypadek podobnych ataków.

W raporcie Symantec publikuje szczegółowe wskaźniki infekcji oraz domeny, które mogą być przydatne przy przeszukiwaniu systemów oraz ich zabezpieczaniu.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz