A Symantec anuncia nova descoberta de uma campanha de espionagem cibernética do grupo Leafminer, que tem como alvo organizações governamentais e negócios em todo o Oriente Médio desde o início de 2017. O Leafminer tenta se infiltrar nas redes usando três principais técnicas de intrusão: sites de watering hole, verificação de vulnerabilidades de serviços de rede na Internet e tentativas de ataque de força bruta à área de login. As ferramentas usadas pelo grupo sugerem que estão procurando por dados de e-mail, arquivos e servidores de bancos de dados em sistemas de destino comprometidos.
“O interesse do Leafminer em dados de e-mail indica que a espionagem é sua motivação principal”, disse Einar Oftedal, vice-presidente, Pesquisa de Detecção na Symantec. “O grupo é extremamente ativo e usa ferramentas públicas disponíveis que normalmente não geram alertas, além de seu próprio malware personalizado. Eles possuem ambições audaciosas e estão ansiosos para aprender com ameaças mais avançadas, dada a imitação da técnica de watering hole do Dragonfly”.
Durante a investigação do Leafminer, a Symantec descobriu uma lista de 809 alvos visados pelos atacantes por meio de varreduras de vulnerabilidades. As regiões-alvo incluídas na lista foram Arábia Saudita, Emirados Árabes Unidos, Catar, Kuwait, Bahrein, Egito, Israel e Afeganistão. As principais indústrias sob ataque incluem governos, setor financeiro e setor de energia.
Como a lista de organizações-alvo do Leafminer foi escrita em farsi e o web shell usado para configurar seu servidor arsenal foi escrito pelo MagicCoder, um hacker notório ligado a fóruns de hackers iranianos e ao grupo de hackers Sun Army, aparentemente, a base desta ameaça está localizada no Irã.
