Espionage "Leafminer" Iran, Target Timur Tengah Nyungsap Sebelum Finish?

Sekelompok cyberspies lazimnya espionage diyakini beroperasi dari Iran telah menargetkan pemerintah AS dan jenis organisasi lain di Timur Tengah setidaknya sejak bebarapa tahun belakangan ini, Symantec melaporkan.

Menurut firma keamanan, yang melacak aktor ancaman sebagai Leafminer, ini adalah kampanye yang sebelumnya tidak terdokumentasi. Symantec telah mendeteksi malware dan alat-alat yang terkait dengan grup ini pada 44 sistem di Arab Saudi, Lebanon, Israel, Kuwait dan negara-negara lain, tetapi para peneliti menemukan daftar - ditulis dalam bahasa Farsi Iran - lebih dari 800 target yang sistemnya tampaknya dipindai oleh penyerang. Daftar ini menunjukkan bahwa negara-negara yang ditargetkan juga termasuk Uni Emirat Arab, Qatar, Bahrain, Mesir dan Afghanistan.

Persentase target yang signifikan berada di sektor keuangan, pemerintah dan perusahaan tambang dan energi, tetapi beberapa industri lain juga ditargetkan.

Leafminer telah menggunakan malware yang dibuat khusus dan alat yang tersedia untuk publik dalam kampanye spionasenya. Teknik serangannya termasuk penggunaan server web yang dikompromikan sebagai lubang watering, pemindaian dan eksploitasi network services rentan, dan serangan dictionary yang ditujukan untuk layanan otentikasi.

Salah satu server yang digunakan oleh Leafminer menyimpan 112 file, termasuk malware, alat dan file log yang dihasilkan sebagai hasil dari scan dan aktivitas pasca-kompromi.

Beberapa alat di gudang senjata Leafminer terkait dengan kelompok lain yang memiliki hubungan jelas dengan Iran. Para peretas juga memanfaatkan alat dan eksploit yang tersedia secara luas, seperti Inception Framework yang dibocorkan oleh Shadow Brokers, yang mencakup eksploitasi EternalBlue yang terkenal.

Leafminer juga telah mengembangkan malware-nya sendiri, termasuk Trojan.Imecab dan Backdoor.Sorgu. Sorgu menyediakan akses jarak jauh penyerang ke komputer yang disusupi, sementara provider Imecab menyediakan akses terus-menerus dengan kata sandi yang di-hardcod.v Alat khusus lain yang digunakan oleh aktor ancaman adalah versi modifikasi dari alat pasca eksploitasi populer Mimikatz. Para penyerang berusaha untuk menghindari deteksi menggunakan teknik yang dijuluki Proses Doppelgänging, yang diungkapkan peneliti keamanan di di enSilo akhir tahun lalu.

Para peneliti di enSilo telah mengidentifikasi metode baru yang dapat digunakan oleh peretas untuk mengeksekusi sebagian malware pada semua versi Windows yang didukung tanpa terdeteksi oleh produk keamanan.

"Proses Doppelgänging," mirip dengan proses lekukan, metode injeksi kode yang melibatkan pemijahan contoh baru dari proses yang sah dan mengganti kode yang sah dengan yang jahat. Teknik ini telah digunakan oleh para pelaku ancaman selama beberapa tahun dan firma produk keamanan mampu mendeteksi itu.

Namun enSilo juga mengatakan telah muncul dengan metode yang serupa tetapi lebih efisien untuk mengeksekusi kode jahat, termasuk ransomware dan jenis ancaman lainnya, dalam konteks proses yang sah. Proses Doppelgänging menyalahgunakan pemuat Windows untuk mengeksekusi kode tanpa benar-benar menuliskannya ke disk, yang membuatnya lebih sulit untuk mendeteksi serangan.

Menurut para peneliti, ketika Proses Doppelganging digunakan, kode berbahaya dipetakan dengan benar ke file pada disk, sama seperti dalam kasus proses yang sah - solusi keamanan modern biasanya menandai kode yang tidak dipetakan. Metode ini juga dapat dimanfaatkan untuk memuat DLL berbahaya.

Para ahli telah berhasil menguji teknik pada Windows 7, Windows 8.1 dan Windows 10 terhadap produk keamanan dari Microsoft, AVG, BitDefender, ESET, Symantec, McAfee, Kaspersky, Panda Security, dan Avast.

Doppelganging mengandalkan NTFS transaksional, yang dirancang untuk memudahkan pengembang dan administrator aplikasi untuk menangani kesalahan dan menjaga integritas data. enSilo telah menemukan cara untuk membuat perubahan pada file yang dapat dieksekusi melalui transaksi NTFS tanpa benar-benar melakukan modifikasi pada disk. Fungsionalitas tanpa dokumen dari pemuat proses Windows kemudian disalahgunakan untuk memuat executable yang dimodifikasi. Perubahan yang dilakukan pada file asli dikembalikan untuk menghindari meninggalkan jejak apa pun.

Firma Symantec juga telah melihat upaya untuk menemukan sistem yang rentan terhadap serangan Heartbleed. Lebih lanjut, Leafminer juga tampaknya terinspirasi oleh group Dragonfly yang terkait Rusia. Teknik yang digunakan oleh Dragonfly dalam serangan watering holes juga telah terlihat dalam kampanye Leafminer, kata para peneliti.

Kelompok spionase, yang dikenal sebagai Dragonfly 2.0, Crouching Yeti dan Energetic Bear, telah aktif setidaknya sejak taun 2010 lalu, tetapi kegiatannya pertama kali diperinci oleh perusahaan keamanan pada tahun 2014. Banyak dari serangan aktor ancaman telah berfokus pada sektor energi di Amerika Serikat dan Eropa.

Symantec mengatakan telah memantau kampanye baru, yang dijuluki "Dragonfly 2.0," sejak akhir 2015. Perusahaan telah melihat korban operasi ini di Amerika Serikat, Swiss dan Turki.

Sementara terkait gurita leafminer-espionage Iran ini Symantec menunjukkan bahwa kelompok tersebut “bersemangat untuk belajar dari dan memanfaatkan alat dan teknik yang digunakan oleh para pelaku ancaman yang lebih maju” dan telah “melacak perkembangan di dunia keamanan siber.”

Apes nyungsep sebelum finish? “Namun, keinginan Leafminer untuk belajar dari yang lain menunjukkan beberapa pengalaman dari para penyerang lama (aktor espionage), sebuah kesimpulan yang didukung oleh keamanan operasional grup yang buruk. Itu membuat kesalahan besar dalam meninggalkan server pementasan yang dapat diakses publik, yang mengekspos seluruh alat persenjataan kelompok peretas masih berada dibelakang , ”kata Symantec.

Leafminer Espionage Middle-East

Share this post