Группировка Leafminer, также известная под названием RASPITE, атакует цели на Ближнем Востоке, в США и Европе. К такому выводу пришли ИБ-эксперты из Symantec и Dragos по результатам расследования ряда вредоносных кампаний.

Злоумышленники используют известные эксплойт-паки и собственные разработки для нападения на финансовые и правительственные организации, а также предприятия энергетического сектора. Аналитики полагают, что преступники, базирующиеся в Иране, активны как минимум с 2017 года.

Первые сведения о деятельности группировки появились в конце июля, когда исследователи обнаружили ее сервер, предназначавшийся для хранения вредоносных программ. В общем доступе оказались 112 файлов, включавших в себя список целей и логи проведенных атак.

Специалисты отыскали 44 компьютерные системы, взломанные Leafminer. Они находились на территории Саудовской Аравии, Кувейта, Ливана и других стран Ближнего Востока. Эксперты добыли список на иранском диалекте фарси, который содержал сведения о еще 800 целях, просканированных киберпреступниками.

Позднее ИБ-аналитики обнаружили следы присутствия Leafminer в информационных системах предприятий энергетического сектора США. Как отмечают эксперты, злоумышленники не нарушали электроснабжение, используя скомпрометированные сети, а лишь похищали логины и пароли.

Преступники применяли стратегию watering hole, чтобы проникнуть на компьютер жертвы. Группировка встраивала вредоносную ссылку на скомпрометированные сайты, чтобы открыть соединение по SMB-каналу и похитить учетные данные пользователей Windows.

По мнению исследователей, Leafminer задействует известные хакерские инструменты, например такие, как Inception Framework, слитые в Сеть группировкой Shadow Brocker. Как отмечают эксперты, для извлечения персональной информации команда применяла модифицированную версию утилиты Mimikatz.

При этом исследователи нашли в арсенале злоумышленников оригинальные вредоносные программы Trojan.Imecab и Backdoor.Sorgu. Они предназначались для удаленного доступа к скомпрометированному устройству и обеспечивали постоянное подключение со вшитым паролем.

Аналитики из Symantec и Dragos сходятся во мнении, что киберпреступники еще только пробуют свои силы, отрабатывая алгоритмы атак и подбирая необходимые инструменты. Тот факт, что они оставили в общем доступе один из своих серверов, говорит о неопытности злоумышленников, но несмотря на это, Leafminer представляет реальную угрозу.

Специалисты связывают с Ираном деятельность еще нескольких кибергруппировок. Осенью прошлого года компания FireEye рассказала о группе APT33, которую подозревали в шпионаже за предприятиями космической отрасли и энергетического сектора в США, Саудовской Аравии и Южной Корее.

В конце июля компания Palo Alto Networks опубликовала отчет об активности группировки OilRig, нацеленной на правительственные учреждения и коммерческие компании Ближнего Востока. По мнению специалистов, преступники действуют с 2015 года и применяют фишинговые рассылки для установки бэкдора на компьютер жертвы.

Категории: Аналитика, Хакеры