g0077-leafminer - RunkIntel

# Leafminer > [!danger] Iran APT - Coleta Massiva de Credenciais no Oriente Médio > Leafminer é notório por ter públicado acidentalmente uma lista de **809 alvos pretendidos** em um servidor exposto - escrita em Farsi - revelando sua abrangência de interesse estratégico iraniano em governos, energia e setor financeiro do Oriente Médio. ## Visão Geral **Leafminer** (também rastreado como **Raspite** e **Flash Kitten**) é um grupo de ameaça persistente avançada de origem iraniana, ativo desde pelo menos o início de 2017. O grupo concentra suas operações em **entidades governamentais, infraestrutura de energia, transporte e setor financeiro** nos países do Golfo Pérsico e Levante - especialmente Arábia Saudita, Israel, Líbano, Kuwait e Emirados Árabes. Documentado pela Symantec em 2018, o grupo se tornou notório quando pesquisadores descobriram uma lista de 809 alvos pretendidos em um servidor de infraestrutura comprometido, com o conteúdo escrito em Farsi - evidência direta das prioridades de inteligência do governo iraniano na região. A característica mais marcante do Leafminer é sua abordagem **multi-vetor de coleta de credenciais**: o grupo combina watering holes com técnicas SMB para capturar hashes NTLM passivamente, enquanto paralelamente conduz password spraying e extrai credenciais de memória LSASS, browsers e arquivos locais. ## Attack Flow - Coleta Multi-Vetor ```mermaid graph TB A["🎯 Watering Holes Sites governamentais e de energia comprometidos T1189 Drive-by"] --> B["🔐 Coleta Passiva NTLM SMB credential harvesting Hashes capturados"] B --> C["🔑 Credential Dumping LSASS Memory LaZagne + Mimikatz"] C --> D["🔫 Password Spraying Total SMB BruteForcer Contas válidas no domínio"] D --> E["📧 Email Harvesting MailSniper via Exchange Coleta remota de caixa postal"] E --> F["🔄 Lateral Movement PsExec com creds válidas Process Doppelgänging"] F --> G["📤 Exfiltração Dados de governo e energia Prioridade: docs classificados"] classDef watering fill:#1a5276,color:#fff,stroke:#154360 classDef passive fill:#8e44ad,color:#fff,stroke:#6c3483 classDef creds fill:#c0392b,color:#fff,stroke:#922b21 classDef spray fill:#e67e22,color:#fff,stroke:#d35400 classDef email fill:#2471a3,color:#fff,stroke:#1a5276 classDef lateral fill:#196f3d,color:#fff,stroke:#145a32 classDef exfil fill:#7b241c,color:#fff,stroke:#641e16 class A watering class B passive class C creds class D spray class E email class F lateral class G exfil ``` ## Arsenal Técnico - Ferramentas Principais | Ferramenta | Tipo | Função Principal | |-----------|------|-----------------| | **LaZagne** | Credential dumper | Extrai credenciais de ~30 apps (browsers, email, FTP, DB) | | **Mimikatz** | Credential dumper | Dump LSASS memory - hashes NTLM e tickets Kerberos | | **MailSniper** | Email harvesting | Coleta emails via Exchange EWS/RPC remotamente | | **PsExec** | Lateral movement | Execução remota com credenciais capturadas | | **Total SMB BruteForcer** | Brute force | Password spraying contra compartilhamentos SMB | ### Técnica Distintiva: Process Doppelgänging O Leafminer empregou [[t1055-013-process-doppelgnging|T1055.013 - Process Doppelgänging]] para evasão - uma técnica avançada que cria um processo legítimo, substitui seu conteúdo de memória pelo malware usando transações NTFS, e executa o payload sem criar arquivo no disco. Isso contorna EDRs baseados em análise de arquivos e muitos produtos de segurança endpoint. ## A Lista de 809 Alvos Em 2018, a Symantec descobriu um servidor de infraestrutura do Leafminer exposto que continha um arquivo de texto em Farsi listando **809 organizações-alvo pretendidas**. O arquivo incluía: - Organizações governamentais da Arábia Saudita, Kuwait, EAU, Qatar e Jordânia - Empresas de energia e petroquímica do Golfo Pérsico - Instituições financeiras regionais - Empresas de telecomúnicações e transporte Esta exposição acidental revelou a amplitude do programa de espionagem iraniano e confirmou o patrocínio estatal do grupo. ## Comparação com Outros APTs Iranianos ```mermaid graph TB A["APTs Iranianos no Oriente Médio"] --> B["Leafminer Credenciais + watering holes Governo e Energia"] A --> C["MuddyWater TTPs Office + RATs Governo e Telecom"] A --> D["APT33 Infraestrutura critica Petroleo e Gas"] A --> E["OilRig DNS tunneling Fintech e Defesa"] A --> F["POLONIUM Cloud C2 Israel específicamente"] classDef iran fill:#1a5276,color:#fff,stroke:#154360 classDef leaf fill:#c0392b,color:#fff,stroke:#922b21 classDef others fill:#2471a3,color:#fff,stroke:#1a5276 class A iran class B leaf class C,D,E,F others ``` ## Técnicas Utilizadas - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1003-004-lsa-secrets|T1003.004 - LSA Secrets]] - [[t1003-005-cached-domain-credentials|T1003.005 - Cached Domain Credentials]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1055-013-process-doppelgnging|T1055.013 - Process Doppelgänging]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1588-002-tool|T1588.002 - Tool]] ## Software Utilizado - [[s0349-lazagne|LaZagne]] - [[mimikatz|Mimikatz]] - [[s0413-mailsniper|MailSniper]] - [[psexec|PsExec]] ## Grupos Relacionados - [[g0069-mango-sandstorm|MuddyWater]] - APT iraniano com foco similar no Oriente Médio - [[g0064-apt33|APT33]] - APT iraniano com foco em energia e petroquímica - [[g0049-oilrig|OilRig]] - APT iraniano com técnicas de DNS tunneling - [[g1005-polonium|POLONIUM]] - grupo afiliado ao MOIS com foco em Israel - [[g0112-windshift|Windshift]] - outro APT com foco em governo do Oriente Médio ## Relevância para o Brasil e LATAM > [!info] Risco Baixo Direto - Padrões Transferíveis para Defesa Proativa > Leafminer mantém foco regional exclusivo no Oriente Médio. Não há registros de campanha contra Brasil ou LATAM. Entretanto, as técnicas de coleta de credenciais são universalmente aplicáveis. O arsenal do Leafminer - especialmente **LaZagne + Mimikatz + MailSniper + password spraying** - representa um kit de comprometimento de credenciais que qualquer ator motivado pode replicar. Organizações brasileiras nos setores de energia ([[energy|energia]]), [[government|governo]] e [[financial|financeiro]] devem implementar: - Proteção de LSASS com Credential Guard (Windows Defender Credential Guard) - Monitoramento de acesso ao processo lsass.exe via EDR - Bloqueio de ferramentas de credential dumping (LaZagne, Mimikatz) por hash e comportamento - Proteção de Exchange contra MailSniper (limitação de EWS para IPs internos) - MFA em todos os sistemas de acesso privilegiado Organizações brasileiras com operações no Oriente Médio (Petrobras, Embraer, bancos com correspondentes regionais) devem estar vigilantes sobre indicadores específicos deste grupo. ## Detecção e Mitigação - Habilitar Credential Guard no Windows para proteger LSASS de dumping - Monitorar processos tentando abrir handles em lsass.exe (Event ID 10 no Sysmon) - Detectar Process Doppelgänging via análise comportamental de transações NTFS incomuns - Implementar limitação de taxa para autenticações SMB (detectar password spraying) - Monitorar uso de MailSniper: conexões EWS não autorizadas contra Exchange - Alertar sobre uso de ferramentas como LaZagne e PsExec em contextos não administrativos - Revisar e restringir permissões de compartilhamentos SMB expostos na rede interna ## Referências - [1](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/leafminer-espionage-middle-east) Symantec - Leafminer: New Espionage Campaigns Targeting Middle Eastern Regions (2018) - [2](https://attack.mitre.org/groups/G0077/) MITRE ATT&CK - G0077 Leafminer - [3](https://unit42.paloaltonetworks.com/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/) Unit 42 - Leafminer and Raspberry Robin Infrastructure Analysis (2018) - [4](https://www.securityweek.com/symantec-finds-iranian-hackers-leaked-list-809-target-organizations) SecurityWeek - Iranian Hackers Leaked List of 809 Target Organizations (2018)