Κυβερνοεπιθέσεις υπέρ της Χαμάς στοχεύουν κακόβουλο λογισμικό «Pierogi» σε πολλούς στόχους της Μέσης Ανατολής

Μια ομάδα επιτιθέμενων υπέρ της Χαμάς, γνωστή ως Gaza Cybergang, χρησιμοποιεί μια νέα παραλλαγή του κακόβουλου λογισμικού Pierogi++ για να εξαπολύσει επιθέσεις σε Παλαιστινιακούς και Ισραηλινούς στόχους.

Σύμφωνα με έρευνα από τα εργαστήρια Sentinel, το backdoor βασίζεται στη γλώσσα προγραμματισμού C++ και έχει χρησιμοποιηθεί σε καμπάνιες μεταξύ 2022 και 2023. Οι επιτιθέμενοι χρησιμοποιούν επίσης το Μικροψία κακόβουλο λογισμικό σε πρόσφατες εκστρατείες hacking στη Μέση Ανατολή.

«Οι πρόσφατες δραστηριότητες Cybergang της Γάζας δείχνουν συνεπή στόχευση παλαιστινιακών οντοτήτων, χωρίς να έχουν παρατηρηθεί σημαντικές αλλαγές στη δυναμική από την έναρξη του πολέμου Ισραήλ-Χαμάς», έγραψε στην έκθεση ο ανώτερος ερευνητής απειλών της Sentinel Labs, Aleksandar Milenkoski.

Διανομή του κακόβουλου λογισμικού

Οι χάκερ διένειμαν το κακόβουλο λογισμικό Pierogi++ χρησιμοποιώντας αρχεία αρχειοθέτησης και κακόβουλα έγγραφα του Office που συζητούσαν παλαιστινιακά θέματα τόσο στα αγγλικά όσο και στα αραβικά. Αυτά περιείχαν τεχνουργήματα των Windows, όπως προγραμματισμένες εργασίες και βοηθητικές εφαρμογές, οι οποίες περιελάμβαναν μακροεντολές με κακόβουλο λογισμικό που είχαν σχεδιαστεί για τη διάδοση της κερκόπορτας Pierogi++.

Ο Milenkoski λέει στο Dark Reading ότι το Gaza Cybergang χρησιμοποίησε επιθέσεις phishing και εμπλοκές που βασίζονταν στα μέσα κοινωνικής δικτύωσης για να κυκλοφορήσει τα κακόβουλα αρχεία.

"Διανεμημένο μέσω ενός κακόβουλου εγγράφου του Office, το Pierogi++ αναπτύσσεται από μια μακροεντολή του Office όταν ο χρήστης ανοίγει το έγγραφο", εξηγεί ο Milenkoski. «Σε περιπτώσεις όπου η κερκόπορτα διαδίδεται μέσω αρχείου αρχείου, συνήθως καμουφλάρεται ως έγγραφο με πολιτικά θέματα για τις Παλαιστινιακές υποθέσεις, εξαπατώντας τον χρήστη να το εκτελέσει μέσω μιας ενέργειας διπλού κλικ».

Πολλά από τα έγγραφα χρησιμοποίησαν πολιτικά θέματα για να δελεάσουν τα θύματά τους και να εκτελέσουν την κερκόπορτα Pierogi++, όπως: «Η κατάσταση των Παλαιστινίων προσφύγων στη Συρία Πρόσφυγες στη Συρία» και «Το Υπουργείο Κράτους για το Τείχος και τις Υποθέσεις Εποικισμού που ιδρύθηκε από την Παλαιστινιακή κυβέρνηση».

The Original Pierogi

Αυτό το νέο στέλεχος κακόβουλου λογισμικού είναι μια ενημερωμένη έκδοση του κερκόπορτου Pierogi, το οποίο οι ερευνητές στο Cybereason προσδιορίζονται πριν από σχεδόν πέντε χρόνια.

Αυτοί οι ερευνητές περιέγραψαν την κερκόπορτα ότι επιτρέπει στους επιτιθέμενους να κατασκοπεύουν στοχευμένα θύματα χρησιμοποιώντας κοινωνική μηχανική και πλαστά έγγραφα, συχνά βασισμένα σε πολιτικά θέματα που σχετίζονται με την παλαιστινιακή κυβέρνηση, την Αίγυπτο, τη Χεζμπολάχ και το Ιράν.

Η κύρια διαφορά μεταξύ της αρχικής κερκόπορτας Pierogi και της νεότερης παραλλαγής είναι ότι η πρώτη χρησιμοποιεί τις γλώσσες προγραμματισμού Delphi και Pascal, ενώ η δεύτερη χρησιμοποιεί C++.

Παλαιότερες παραλλαγές αυτής της κερκόπορτας χρησιμοποιούσαν επίσης ουκρανικές εντολές backdoor 'vydalyty', 'Zavantazhyty' και 'Ekspertyza'. Το Pierogi++ χρησιμοποιεί τις αγγλικές συμβολοσειρές «download» και «screen».

Η χρήση του ουκρανικού στις προηγούμενες εκδόσεις του Pierogi μπορεί να υποδηλώνει εξωτερική εμπλοκή στη δημιουργία και τη διανομή του backdoor, αλλά η Sentinel Labs δεν πιστεύει ότι αυτό ισχύει για το Pierogi++.

Η Sentinel Labs παρατήρησε ότι και οι δύο παραλλαγές έχουν ομοιότητες κωδικοποίησης και λειτουργικότητας παρά ορισμένες διαφορές. Αυτά περιλαμβάνουν πανομοιότυπα πλαστά έγγραφα, τακτικές αναγνώρισης και συμβολοσειρές κακόβουλου λογισμικού. Για παράδειγμα, οι χάκερ μπορούν να χρησιμοποιήσουν και τα δύο backdoors για λήψη οθόνης, λήψη αρχείων και εκτέλεση εντολών.

Οι ερευνητές είπαν ότι το Pierogi++ είναι απόδειξη ότι η Gaza Cybergang ενισχύει τη «συντήρηση και την καινοτομία» του κακόβουλου λογισμικού της σε μια προσπάθεια «να ενισχύσει τις δυνατότητές του και να αποφύγει τον εντοπισμό με βάση γνωστά χαρακτηριστικά κακόβουλου λογισμικού».

Καμία νέα δραστηριότητα από τον Οκτώβριο

Ενώ η Gaza Cybergang στοχεύει Παλαιστίνια και Ισραηλινά θύματα σε εκστρατείες κυρίως «συλλογής πληροφοριών και κατασκοπείας» από το 2012, η ​​ομάδα δεν έχει αυξήσει τον βασικό όγκο δραστηριότητάς της από την έναρξη της σύγκρουσης στη Γάζα τον Οκτώβριο. Ο Μιλενκόσκι λέει ότι η ομάδα στοχεύει συνεχώς «κυρίως ισραηλινές και παλαιστινιακές οντότητες και άτομα» τα τελευταία χρόνια.

Η συμμορία περιλαμβάνει πολλές «γειτονικές υποομάδες» που μοιράζονται τεχνικές, διαδικασίες και κακόβουλο λογισμικό τα τελευταία πέντε χρόνια, σημείωσε η Sentinel Labs.

«Αυτές περιλαμβάνουν την ομάδα 1 Cybergang της Γάζας (Molerats), Gaza Cybergang Group 2 (Ξηρή οχιά, Desert Falcons, APT-C-23) και Gaza Cybergang Group 3 (η ομάδα πίσω από Επιχείρηση Κοινοβούλιο), είπαν οι ερευνητές.

Αν και η Gaza Cybergang δραστηριοποιείται στη Μέση Ανατολή για περισσότερο από μια δεκαετία, η ακριβής φυσική τοποθεσία των χάκερ της είναι ακόμα άγνωστη. Ωστόσο, με βάση προηγούμενες πληροφορίες, ο Μιλενκόσκι πιστεύει ότι είναι πιθανώς διασκορπισμένοι σε όλο τον αραβόφωνο κόσμο σε μέρη όπως η Αίγυπτος, η Παλαιστίνη και το Μαρόκο.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets