Symantec descobre campanha de espionagem cibernética direcionada a empresas do Oriente Médio

A Symantec descobriu uma campanha de espionagem cibernética do grupo Leafminer, que tem como alvo organizações governamentais e negócios em todo o Oriente Médio desde o início de 2017.  

O Leafminer tenta infiltrar-se nas redes usando três principais técnicas de intrusão: sites de watering hole, verificação de vulnerabilidades de serviços de rede na Internet e tentativas de ataque de força bruta à área de login. As ferramentas usadas pelo grupo sugerem que estão procurando por dados de e-mail, arquivos e servidores de bancos de dados em sistemas de destino comprometidos.

“O interesse do Leafminer em dados de e-mail indica que a espionagem é sua motivação principal”, disse Einar Oftedal, vice-presidente, Pesquisa de Detecção na Symantec. “O grupo é extremamente ativo e usa ferramentas públicas disponíveis que normalmente não geram alertas, além de seu próprio malware personalizado. Eles possuem ambições audaciosas e estão ansiosos para aprender com ameaças mais avançadas, dada a imitação da técnica de watering hole do Dragonfly”. 

Durante a investigação do Leafminer, a Symantec descobriu uma lista de 809 alvos visados pelos atacantes por meio de varreduras de vulnerabilidades. As regiões-alvo incluídas na lista foram Arábia Saudita, Emirados Árabes Unidos, Catar, Kuwait, Bahrein, Egito, Israel e Afeganistão. As principais indústrias sob ataque incluem governos, setor financeiro e setor de energia.

Como a lista de organizações-alvo do Leafminer foi escrita em farsi e o web shell usado para configurar seu servidor arsenal foi escrito pelo MagicCoder, um hacker notório ligado a fóruns de hackers iranianos e ao grupo de hackers Sun Army, aparentemente, a base desta ameaça está localizada no Irão.