En gruppe pro-Hamas-angribere kendt som Gaza Cybergang bruger en ny variant af Pierogi++ bagdørs-malware til at iværksætte angreb på palæstinensiske og israelske mål.
Ifølge forskning fra Sentinel Labs, bagdøren er baseret på programmeringssproget C++ og er blevet brugt i kampagner mellem 2022 og 2023. Angriberne har også brugt Mikropsia malware i de seneste hacking-kampagner i hele Mellemøsten.
"Seneste Gaza Cybergang-aktiviteter viser konsekvent målretning af palæstinensiske enheder, uden observerede væsentlige ændringer i dynamikken siden starten af Israel-Hamas-krigen," skrev Sentinel Labs senior trusselsforsker Aleksandar Milenkoski i rapporten.
Distribution af malware
Hackerne distribuerede Pierogi++ malware ved hjælp af arkivfiler og ondsindede Office-dokumenter, der diskuterede palæstinensiske emner på både engelsk og arabisk. Disse indeholdt Windows-artefakter såsom planlagte opgaver og hjælpeprogrammer, som inkluderede malware-rede makroer designet til at sprede Pierogi++ bagdøren.
Milenkoski fortæller til Dark Reading, at Gaza Cybergang brugte phishing-angreb og sociale medier-baserede engagementer til at cirkulere de ondsindede filer.
"Pierogi++ distribueres gennem et ondsindet Office-dokument og implementeres af en Office-makro, når brugeren åbner dokumentet," forklarer Milenkoski. "I tilfælde, hvor bagdøren formidles via en arkivfil, camouflerer den typisk sig selv som et politisk temadokument om palæstinensiske anliggender, og bedrager brugeren til at udføre den gennem en dobbeltklikhandling."
Mange af dokumenterne brugte politiske temaer til at lokke sine ofre og henrette Pierogi++ bagdøren, såsom: "Situationen for palæstinensiske flygtninge i Syrien flygtninge i Syrien" og "Statsministeriet for mur- og bosættelsesanliggender oprettet af den palæstinensiske regering."
Den originale Pierogi
Denne nye malware-stamme er en opdateret version af Pierogi-bagdøren, som forskere ved Cybereason identificeret næsten fem år siden.
Disse forskere beskrev bagdøren som at gøre det muligt for "angribere at spionere på målrettede ofre" ved hjælp af social engineering og falske dokumenter, ofte baseret på politiske emner relateret til den palæstinensiske regering, Egypten, Hizbollah og Iran.
Den største forskel mellem den originale Pierogi-bagdør og den nyere variant er, at førstnævnte bruger programmeringssprogene Delphi og Pascal, mens sidstnævnte bruger C++.
Ældre varianter af denne bagdør brugte også ukrainske bagdørskommandoer 'vydalyty', 'Zavantazhyty' og 'Ekspertyza'. Pierogi++ bruger de engelske strenge 'download' og 'screen'.
Brugen af ukrainsk i de tidligere versioner af Pierogi kan have antydet ekstern involvering i oprettelsen og distributionen af bagdøren, men Sentinel Labs mener ikke, at dette er tilfældet for Pierogi++.
Sentinel Labs observerede, at begge varianter har kodning og funktionalitet ligheder på trods af nogle forskelle. Disse omfatter identiske forfalskede dokumenter, rekognosceringstaktikker og malware-strenge. For eksempel kan hackere bruge begge bagdøre til at tage skærmbilleder, downloade filer og udføre kommandoer.
Forskere sagde, at Pierogi++ er et bevis på, at Gaza Cybergang støtter "vedligeholdelsen og innovationen" af sin malware i et forsøg på at "forbedre dens muligheder og undgå detektion baseret på kendte malware-karakteristika."
Ingen ny aktivitet siden oktober
Mens Gaza Cybergang har været rettet mod palæstinensiske og israelske ofre i overvejende "efterretningsindsamling og spionage"-kampagner siden 2012, har gruppen ikke øget sin baseline-aktivitet siden starten af Gaza-konflikten i oktober. Milenkoski siger, at gruppen konsekvent har været rettet mod "primært israelske og palæstinensiske enheder og individer" i løbet af de sidste par år.
Banden består af flere "tilstødende undergrupper", som har delt teknikker, processer og malware i de sidste fem år, bemærkede Sentinel Labs.
"Disse inkluderer Gaza Cybergang Group 1 (Molerater), Gaza Cybergang Group 2 (Tør hugorm, Desert Falcons, APT-C-23) og Gaza Cybergang Group 3 (gruppen bag Operation Parlament), sagde forskerne.
Selvom Gaza Cybergang har været aktiv i Mellemøsten i mere end et årti, er den nøjagtige fysiske placering af dets hackere stadig ukendt. Men baseret på tidligere efterretninger mener Milenkoski, at de sandsynligvis er spredt ud over den arabisktalende verden på steder som Egypten, Palæstina og Marokko.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :har
- :er
- :hvor
- $OP
- 1
- 2012
- 2022
- 2023
- a
- tværs
- Handling
- aktiv
- aktiviteter
- aktivitet
- tilstødende
- Anliggender
- siden
- sigte
- også
- an
- ,
- applikationer
- arabisk
- Arkiv
- ER
- AS
- At
- Angreb
- bagdør
- Bagdøre
- baseret
- Baseline
- været
- bag
- Tro
- mener
- mellem
- bud
- både
- men
- by
- C + +
- Kampagner
- CAN
- kapaciteter
- tilfælde
- tilfælde
- Ændringer
- karakteristika
- Kodning
- samling
- omfatter
- konflikt
- konsekvent
- konsekvent
- indeholdt
- skabelse
- mørk
- Mørk læsning
- årti
- Delphi
- indsat
- beskrevet
- ØRKEN
- konstrueret
- Trods
- Detektion
- forskel
- forskelle
- drøftet
- spredte
- distribueret
- fordeling
- dokumentet
- dokumenter
- gør ikke
- downloade
- dynamik
- Øst
- Egypten
- muliggør
- engagementer
- Engineering
- Engelsk
- forbedre
- enheder
- spionage
- etableret
- Ether (ETH)
- Unddrage
- udførelse
- Forklarer
- ekstern
- få
- File (Felt)
- Filer
- fem
- Til
- Tidligere
- fra
- funktionalitet
- Bande
- Regering
- gruppe
- hackere
- hacking
- Have
- Men
- HTTPS
- identisk
- in
- omfatter
- medtaget
- øget
- enkeltpersoner
- Innovation
- instans
- Intelligens
- ind
- involvering
- Iran
- israelsk
- IT
- ITS
- selv
- jpg
- kendt
- Labs
- Sprog
- Sprog
- lancere
- ligesom
- Sandsynlig
- placering
- Makro
- makroer
- Main
- vedligeholdelse
- malware
- Kan..
- Mellemøsten
- Middle East
- ministerium
- mere
- marokko
- flere
- næsten
- Ny
- nyere
- ingen
- bemærkede
- observeret
- oktober
- of
- Office
- tit
- on
- åbning
- original
- i løbet af
- Palæstina
- forbi
- Phishing
- phishing-angreb
- fysisk
- Steder
- plato
- Platon Data Intelligence
- PlatoData
- politisk
- politisk
- overvejende
- tidligere
- primært
- Processer
- Programmering
- programmeringssprog
- bevis
- Læsning
- nylige
- flygtninge
- relaterede
- indberette
- forsker
- forskere
- Said
- siger
- planlagt
- Skærm
- senior
- SentinelOne
- afregning
- flere
- deling
- Vis
- signifikant
- ligheder
- siden
- Situationen
- Social
- Samfundsteknologi
- nogle
- spredes
- starte
- Tilstand
- Stadig
- sådan
- Syrien
- T
- taktik
- målrettet
- rettet mod
- mål
- opgaver
- teknikker
- fortæller
- end
- at
- tema
- temaer
- Disse
- de
- denne
- trussel
- Gennem
- hele
- til
- Emner
- typisk
- ukrainsk
- ukendt
- opdateret
- på
- brug
- anvendte
- Bruger
- bruger
- ved brug af
- nytte
- Variant
- variationer
- udgave
- via
- ofre
- bind
- Væglampe
- krig
- som
- mens
- WHO
- vinduer
- med
- world
- skrev
- år
- zephyrnet
