Nowo odkryta grupa APT

utworzone przez | lip 27, 2018 | Artykuł

Amerykańska firma cyberbezpieczeństwa, Symantec opublikowała raport dotyczący ataków nowej grupy przestępczej, którą wewnętrznie nazwali Leafminer.

Grupa posługująca się narzędziami APT (Advanced Persistent Threat) była aktywna co najmniej na początku 2017 r. Symantec twierdzi, że złośliwe oprogramowanie związane z infrastrukturą tej grupy na co najmniej 44 komputerach w kilku krajach, takich jak Arabia Saudyjska (28), Liban (8), Izrael (3) i Kuwejt (1) – w przypadku czterech systemów naukowcy nie mogli określić kraju pochodzenia.

Podczas dochodzenia w sprawie tej grupy Symantec twierdzi, że udało jej się uzyskać dostęp do jednego z serwerów operacyjnych, służącego do phishingu i dystrybucji złośliwego oprogramowania. Na tym serwerze analitycy bezpieczeństwa znaleźli listę organizacji, które grupa skanowała w celu zidentyfikowania słabych punktów dla przyszłych ataków. Lista zawierała dane dotyczące 809 organizacji z Arabii Saudyjskiej, Zjednoczonych Emiratów Arabskich, Kataru, Kuwejtu, Bahrajnu, Egiptu, Izraela i Afganistanu.

Członkowie mają za zadanie:

  • poprzez serwery internetowe nakłaniać użytkowników do zainstalowania złośliwego oprogramowania
  • skanować podatne sieci i wykorzystywać exploity do samodzielnego zainfekowania systemów
  • używać ataków słownikowych, próbując odgadnąć loginy docelowych sieci, a także ręcznie instalować złośliwe oprogramowanie w zainfekowanych systemach

Wydaje się, że grupa ma siedzibę w Iranie i uczy się narzędzi i technik wykorzystywanych przez bardziej zaawansowanych hackerów. “Jednak chęć zdobywania wiedzy przez Dropminera od innych sugeruje pewne niedoświadczenie po stronie atakujących, co jest wynikiem słabego poziomu bezpieczeństwa operacyjnego grupy” – mówi Symantec. Grupa popełniła duży błąd, pozostawiając publicznie dostępny serwer pomostowy, ujawniając cały arsenał narzędzi grupy. Ten jeden błąd dostarczył cennych  informacji, które mogą pomóc lepiej bronić się przed kolejnymi atakami.

Źródło: https://www.bleepingcomputer.com/news/security/symantec-discovers-new-and-inexperienced-iranian-apt/