Firma Symantec odkryła działalność cyberprzestępczej grupy o nazwie Leafminer, której ataki od początku 2017 roku są ukierunkowane na organizacje rządowe, finansowe, petrochemiczne, transportowe, lotnicze, energetyczne, bezpieczeństwa i inne w krajach Bliskiego Wschodu. Najbardziej oberwało się Arabii Saudyjskiej, Izraelowi, Katarowi, Kuwejtowi, Egiptowi i innym państwom, które są zlokalizowane w tym regionie geograficznym.
W raporcie czytamy, że grupa Leafminer dostosowuje swoje techniki i narzędzia do wybranego celu, i co ciekawe, większość wykrytego przez Symantec oprogramowania, które jest wykorzystywane do ataków i eksfiltracji, to dobrze znane użytkownikom Githuba otwarto-źródłowe narzędzia, które są dostępne dla obu stron konfliktu.
Podczas śledztwa eksperci dotarli do serwera hostującego ponad 100 katalogów, który był słabo zabezpieczony. Strona zawierała modyfikację webshella tylnej furtki w PHP (PhpSpy), którego autorem prawdopodobnie był użytkownik MagicCoder. Z kolei MagicCoder prowadzi do irańskiego forum hakerskiego Ashiyane, a także do zinfiltrowanej grupy hakerów Sun Army.
Oprócz złośliwego oprogramowania znaleziono tam narzędzia i pliki dzienników, które zawierały informacje pochodzące ze skanowania podatności celów. Grupa hakerów Leafminer najwyraźniej ma tendencję do wykorzystywania publicznie dostępnych narzędzi, w tym opublikowanych PoC exploitów. Wśród technik ataków wymieniane są:
- Taktyki ataku polegające na zainfekowaniu często odwiedzanej strony internetowej przez ofiary (taktyka wodopoju).
- Techniki i narzędzia do skanowania wystawionych na świat usług sieciowych.
- Próby przełamywania poświadczeń popularnym brute-force’m (słowników z loginami i hasłami po ostatnich wyciekach danych nie brakuje).
Symantec twierdzi, że kod, który został użyty w jednym z ataków, prowadzi do zhackowanego serwera internetowego w domenie „e-qht.az”. Jest to strona Rady ds. Wsparcia Azerbejdżanu, która była używana do dystrybucji szkodników. Dalej zidentyfikowano dwa rodzaje szkodliwego oprogramowania (Trojan.Imecab i Backdoor.Sorgu), które są używane przez grupę Leafminer, w tym biblioteki DLL jako droppery lub programy wykonujące określone polecenia w zainfekowanym systemie. Znaleziono także legalne pliki instalacyjne .NET Framework 2.0 SP2, które były wymagane do uruchamiania zmodyfikowanych narzędzi — wśród nich znajdują takie, które służą do:
- podwyższania uprawnień (MSF Retto Potato),
- wyszukiwania poświadczeń (Mimikatz),
- ataków słownikowych (TCH Hydra),
- zdalnego uruchamiania komend (SysInternals PsExec),
- skanowania podatności (Router Scan),
- wyodrębniania załączników z plików pocztowych EML (Sobolsoft Extract Attachments),
- eksportowania baz danych SQL (SysTool SQL Backup Recovery),
- klonowania dysków (Disk Backup),
- przeszukiwania plików na pulpicie (Vidtools Everything).
Użytkowników oraz firmy zachęcamy do zapoznania się z naszym praktycznym poradnikiem zabezpieczenia komputerów. Każdy znajdzie tam coś ciekawego, w tym informacje jak monitorować krytyczne obszary systemowe na wypadek podobnych ataków.
W raporcie Symantec publikuje szczegółowe wskaźniki infekcji oraz domeny, które mogą być przydatne przy przeszukiwaniu systemów oraz ich zabezpieczaniu.
