Pro-Hamas-Cyberangreifer richten „Pierogi“-Malware auf mehrere Ziele im Nahen Osten

Eine Gruppe von Pro-Hamas-Angreifern, bekannt als Gaza Cybergang, nutzt eine neue Variante der Backdoor-Malware Pierogi++, um Angriffe auf palästinensische und israelische Ziele zu starten.

Laut Forschung von Sentinel LabsDie Hintertür basiert auf der Programmiersprache C++ und wurde in Kampagnen zwischen 2022 und 2023 eingesetzt. Die Angreifer nutzten auch die Mikropsie Malware in den jüngsten Hacking-Kampagnen im Nahen Osten.

„Die jüngsten Cybergang-Aktivitäten im Gazastreifen zeigen, dass palästinensische Einheiten immer wieder ins Visier genommen werden, ohne dass seit Beginn des Israel-Hamas-Krieges wesentliche Veränderungen in der Dynamik beobachtet wurden“, schrieb Aleksandar Milenkoski, leitender Bedrohungsforscher bei Sentinel Labs, in dem Bericht.

Verbreitung der Malware

Die Hacker verbreiteten die Pierogi++-Malware mithilfe von Archivdateien und bösartigen Office-Dokumenten, in denen palästinensische Themen sowohl auf Englisch als auch auf Arabisch behandelt wurden. Diese enthielten Windows-Artefakte wie geplante Aufgaben und Dienstprogramme, darunter auch mit Malware infizierte Makros, die die Pierogi++-Hintertür verbreiten sollten.

Milenkoski erzählt Dark Reading, dass die Gaza-Cybergang Phishing-Angriffe und Social-Media-basierte Interaktionen nutzte, um die schädlichen Dateien zu verbreiten.

„Pierogi++ wird über ein bösartiges Office-Dokument verbreitet und von einem Office-Makro bereitgestellt, sobald der Benutzer das Dokument öffnet“, erklärt Milenkoski. „In Fällen, in denen die Hintertür über eine Archivdatei verbreitet wird, tarnt sie sich typischerweise als politisch thematisiertes Dokument zu palästinensischen Angelegenheiten und täuscht den Benutzer, es durch eine Doppelklick-Aktion auszuführen.“

Viele der Dokumente verwendeten politische Themen, um ihre Opfer anzulocken und die Pierogi++-Hintertür auszuführen, wie zum Beispiel: „Die Situation der palästinensischen Flüchtlinge in Syrien, Flüchtlinge in Syrien“ und „Das von der palästinensischen Regierung eingerichtete Staatsministerium für Mauer- und Siedlungsangelegenheiten“.

Der Original Pierogi

Bei diesem neuen Malware-Stamm handelt es sich um eine aktualisierte Version der Pierogi-Backdoor, die von Forschern bei Cybereason entwickelt wurde identifiziert vor fast fünf Jahren.

Diese Forscher beschrieben, dass die Hintertür es „Angreifern ermöglicht, gezielte Opfer auszuspionieren“ mithilfe von Social Engineering und gefälschten Dokumenten, oft basierend auf politischen Themen im Zusammenhang mit der palästinensischen Regierung, Ägypten, der Hisbollah und dem Iran.

Der Hauptunterschied zwischen der ursprünglichen Pierogi-Hintertür und der neueren Variante besteht darin, dass erstere die Programmiersprachen Delphi und Pascal verwendet, während letztere C++ verwendet.

Ältere Varianten dieser Hintertür verwendeten auch die ukrainischen Hintertürbefehle „vydalyty“, „Zavantazhyty“ und „Ekspertyza“. Pierogi++ verwendet die englischen Zeichenfolgen „download“ und „screen“.

Die Verwendung von Ukrainisch in den früheren Versionen von Pierogi könnte auf eine externe Beteiligung an der Erstellung und Verbreitung der Hintertür schließen lassen, Sentinel Labs glaubt jedoch nicht, dass dies bei Pierogi++ der Fall ist.

Sentinel Labs stellte fest, dass beide Varianten trotz einiger Unterschiede Ähnlichkeiten in Codierung und Funktionalität aufweisen. Dazu gehören identische gefälschte Dokumente, Aufklärungstaktiken und Malware-Strings. Hacker können beispielsweise beide Hintertüren zum Erstellen von Screenshots, zum Herunterladen von Dateien und zum Ausführen von Befehlen nutzen.

Forscher sagten, Pierogi++ sei ein Beweis dafür, dass Gaza Cybergang die „Wartung und Innovation“ seiner Malware verstärkt, um „ihre Fähigkeiten zu verbessern und einer Erkennung auf der Grundlage bekannter Malware-Merkmale zu entgehen“.

Keine neue Aktivität seit Oktober

Während Gaza Cybergang seit 2012 hauptsächlich palästinensische und israelische Opfer in Kampagnen zur „Sammlung von Informationen und Spionage“ ins Visier nimmt, hat die Gruppe ihr Grundaktivitätsvolumen seit Beginn des Gaza-Konflikts im Oktober nicht erhöht. Milenkoski sagt, die Gruppe habe in den letzten Jahren konsequent „hauptsächlich israelische und palästinensische Einheiten und Einzelpersonen“ ins Visier genommen.

Die Bande besteht aus mehreren „benachbarten Untergruppen“, die seit fünf Jahren Techniken, Prozesse und Malware austauschen, wie Sentinel Labs feststellte.

„Dazu gehört die Gaza Cybergang Group 1 (Molerate), Gaza Cybergang Group 2 (Trockene Viper, Desert Falcons, APT-C-23) und Gaza Cybergang Group 3 (die Gruppe dahinter). Operation Parlament)“, sagten die Forscher.

Obwohl Gaza Cybergang seit mehr als einem Jahrzehnt im Nahen Osten aktiv ist, ist der genaue physische Aufenthaltsort seiner Hacker immer noch unbekannt. Basierend auf früheren Erkenntnissen geht Milenkoski jedoch davon aus, dass sie wahrscheinlich in der gesamten arabischsprachigen Welt verstreut sind, beispielsweise in Ägypten, Palästina und Marokko.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets