美国网络安全公司赛门铁克本周发布了一份报告,详细描述了一个新发现的网络间谍组织的攻击,该组织内部称为Leafminer。
该组织 - 或APT(高级持续性威胁) - 自2017年初至今一直处于活跃状态。赛门铁克表示,其遥测技术在多个国家(如沙特阿拉伯(28),黎巴嫩)的至少44台计算机上检测到与该组织基础设施相关的恶意软件( 8),以色列(3)和科威特(1) - 四个系统,研究人员无法确定原产国。
在调查这一组时,赛门铁克表示,它还设法访问其用于网络钓鱼和恶意软件分发的其中一个运营服务器。
在这台服务器上,安全研究人员表示,他们找到了该组织的目标组织清单,通过扫描识别未来攻击的弱点。
该清单载有位于沙特阿拉伯,阿拉伯联合酋长国,卡塔尔,科威特,巴林,埃及,以色列和阿富汗的809个组织的数据。该名单以波斯语编写,按地理和行业垂直分组,目标分布在广泛的行业,如金融,政府,能源,航空公司等。
研究人员上个月通过访问相同的PHP Web shell攻击者获得访问权限的服务器正在使用,还包含112个文件,包括恶意软件,日志和其他攻击工具。
在对这些工具,相邻的Leafminer基础设施以及过去的攻击进行调查期间,赛门铁克称其检测到了三种首选的攻击方法。
APT的成员将(1)妥协网络服务器用于水坑攻击,诱骗用户安装恶意软件; 他们会(2)扫描易受攻击的网络并部署攻击来自行感染系统; 或者他们(3)使用字典攻击试图猜测目标网络的登录,也试图在受感染的系统上手动部署恶意软件。
该小组没有遵守或遵循任何特定模式,但经常使用有效的方法。在涉及恶意软件时,他们采用了相同的方法。
Leafminer使用定制的恶意软件,但也通过利用已安装在受感染系统上的工具“生活在陆地上”。
当涉及信息安全社区的最新发展时,该小组也对此有所了解。当Shadow Brokers 在线倾销NSA黑客工具时,该小组采用了FuzzBunch框架,这是其中一种工具。
当研究人员发现并详细介绍了ProcessDoppelgänging技术时,Leafminer很快将其整合到他们的一次攻击中。
当赛门铁克发布一份关于Dragonfly(一种攻击美国和土耳其关键基础设施的俄罗斯链接APT)技术的报告时,Leafminer借用了其中的一个技巧(使用浏览器,隐形图像标签和文件窃取SMB凭证哈希的方法: //网址)。
“该集团似乎总部设在伊朗,似乎渴望从更先进的威胁行为者所使用的工具和技术中学习和利用,”赛门铁克说。
“但是,Leafminer渴望向他人学习,这表明攻击者缺乏经验,这一结论得到了该组织糟糕的运营安全性的支持。”
专家补充说:“[该小组]在公开访问一个登台服务器方面犯了一个大错,暴露了该组织的整套工具。” “这一次失误为我们提供了宝贵的智慧,帮助我们更好地保护我们的客户免受进一步的Leafminer攻击。”
有关赛门铁克报告中的小组和相关IOC的更多信息,请点击此处。
领取专属 10元无门槛券
私享最新 技术干货