是谁在对中东发动大规模网络攻击？

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

赛门铁克发布报告称，黑客组织正在利用公开的自定义工具攻击中东的基础设施和政府组织机构。

这个黑客组织被称为 “Leafminer”，它已利用多种入侵技术渗透至位于阿塞拜疆、以色列、黎巴嫩和沙特阿拉伯的大量组织机构。研究人员观测到该组织使用水坑网站、漏洞扫描和暴力登录尝试盗取数据。

研究人员认为该组织“高度活跃”，自从2017年年初就发动多种攻击活动。该组织攻击的行业包括能源、政府、金融和通信。

赛门铁克技术主管 Vikram Thakur 表示，Lifeminer 组织在研究发布前仍然活跃。Thakur 认为服务器仍然还在运行。该组织非常善于根据多种研究报告和网上公开的资料夯实攻击技巧。它还利用了“永恒之蓝”漏洞。

赛门铁克认为 Leafminer 的操纵人员位于伊朗。然而，Thakur 表示，研究人员未找到该组织发动攻击的动机或者是否代表伊朗在行动。

野心大到厚颜无耻

赛门铁克研究人员在调查中找到了用于其中一次攻击中的恶意软件 payload 的下载 URL。这个 URL 指向在一个阿塞拜疆政府网站上托管的受攻陷 web 服务器。该组织一直利用该服务器在成员之间传播恶意软件、payload 及工具。

Thakur 指出，显然该组织将这台服务器作为分阶段服务器。此后，因为攻击者一直从服务器中替换不同的文件，因此研究人员一直在审查 Leafminer 的工具。

Thakur 认为 Leafminer 并未想到其他人拥有公开访问权限的情况，因此每次上传文件后，研究人员就能访问网站、查看 web shell、拿走文件并进行审查。鉴于赛门铁克能如此轻松地访问这些工具，Thakur 并未排除 Leafminer 隐藏其它分阶段服务器的可能性。然而，目前研究人员尚未发现其它设置。

靠山吃山，靠水吃水

研究人员在博客中详细说明了 Leafminer 如何结合使用公开可用的工具、技术和程序扩充自定义恶意软件。

其中的一个例子就是 OrangeTeghal，它是传播广泛的利用后工具 Mimikatz 的冒牌。Leafminer 重新构建了 Mimikatz 的底层代码以模仿2017年欧洲黑帽大会上提出的一种技术。该代码可导致该组织规避可识别 Mimikatz 代码的检测工具。

另外，该组织使用水坑攻击通过 JavaScript 窃取 SMB 凭证哈希。这种技术和 Dragonfly 使用的技术类似。Dragonfly 组织资源丰富，被指和俄罗斯有关，曾在2015年攻击美国和欧洲能源企业。

进入受害者系统后，Leafminer 使用“永恒之蓝”在目标网络和被攻陷分阶段服务器之间横向移动。

Thakur 表示，这种对自定义和公开工具集的使用（该公司称之为“靠山吃山靠水吃水”）的做法成为黑客组织的趋势。他指出，很少有黑客组织仍然在使用自定义恶意软件。使用公开可用的工具不仅帮助攻击者隐藏在雷达之下，而且还防止安全行业和政府机构溯源追踪。

仍然活跃？

虽然 Thakur 表示，Leafminer 仍然活跃，但他认为在一两天内，受害者将修复被攻陷的分阶段服务器，意味着 Leafminer 将失去这些工具集。尽管如此，Thakur 认为该组织仍将活跃。他指出，下一步将观察 Leafminer 是否将转移攻击目标以及攻击行业。他认为攻击还将继续。

https://www.cyberscoop.com/leafminer-symantec-middle-eastern-hacking/