Ryhmä Hamas-mielisiä hyökkääjiä, joka tunnetaan nimellä Gaza Cybergang, käyttää Pierogi++ -takaovihaittaohjelman uutta muunnelmaa hyökätäkseen palestiinalaisia ja israelilaisia kohteita vastaan.
Mukaan Sentinel Labsin tutkimus, takaovi perustuu C++-ohjelmointikieleen ja sitä on käytetty kampanjoissa vuosina 2022–2023. Hyökkääjät ovat myös käyttäneet Mikropsia haittaohjelmat viimeaikaisissa hakkerointikampanjoissa Lähi-idässä.
"Viimeaikaiset Gazan Cybergangin toimet osoittavat johdonmukaista kohdistamista Palestiinan entiteettiin, eikä dynamiikassa ole havaittu merkittäviä muutoksia Israelin ja Hamasin sodan alkamisen jälkeen", kirjoitti Sentinel Labsin vanhempi uhkatutkija Aleksandar Milenkoski raportissa.
Haittaohjelmien levittäminen
Hakkerit levittivät Pierogi++ -haittaohjelmaa käyttämällä arkistotiedostoja ja haitallisia Office-asiakirjoja, joissa käsiteltiin palestiinalaisia aiheita sekä englanniksi että arabiaksi. Nämä sisälsivät Windowsin artefakteja, kuten ajoitettuja tehtäviä ja apuohjelmia, jotka sisälsivät haittaohjelmien aiheuttamia makroja, jotka oli suunniteltu levittämään Pierogi++-takaovea.
Milenkoski kertoo Dark Readingille, että Gazan Cybergang käytti tietojenkalasteluhyökkäyksiä ja sosiaaliseen mediaan perustuvia sitoumuksia haitallisten tiedostojen levittämiseen.
"Haitallisen Office-asiakirjan kautta levitetty Pierogi++ otetaan käyttöön Office-makrolla, kun käyttäjä avaa asiakirjan", Milenkoski selittää. "Tapauksissa, joissa takaovi levitetään arkistotiedoston kautta, se tyypillisesti naamioituu poliittisesti teemaksi Palestiinan asioita käsitteleväksi asiakirjaksi, joka pettää käyttäjän toteuttamaan sen kaksoisnapsauttamalla."
Monissa asiakirjoissa käytettiin poliittisia teemoja uhrien houkuttelemiseen ja Pierogi++-takaoven teloitukseen, kuten: "Palestiinalaisten pakolaisten tilanne Syyriassa Pakolaiset Syyriassa" ja "Palestiinan hallituksen perustama muuri- ja siirtokuntien ministeriö."
Alkuperäinen Pierogi
Tämä uusi haittaohjelmakanta on päivitetty versio Pierogi-takaovesta, jonka Cybereasonin tutkijat tunnistettu lähes viisi vuotta sitten.
Nämä tutkijat kuvailivat takaoven mahdollistavan "hyökkääjät vakoilemaan kohdennettuja uhreja" käyttämällä sosiaalista suunnittelua ja väärennettyjä asiakirjoja, jotka perustuvat usein Palestiinan hallitukseen, Egyptiin, Hizbollahiin ja Iraniin liittyviin poliittisiin aiheisiin.
Suurin ero alkuperäisen Pierogi-takaoven ja uudemman muunnelman välillä on, että edellinen käyttää Delphi- ja Pascal-ohjelmointikieliä, kun taas jälkimmäinen käyttää C++:aa.
Tämän takaoven vanhemmissa muunnelmissa käytettiin myös ukrainalaisia takaoven komentoja 'vydalyty', 'Zavantazhyty' ja 'Ekspertyza'. Pierogi++ käyttää englanninkielisiä merkkijonoja 'download' ja 'screen'.
Ukrainan kielen käyttö Pierogin aiemmissa versioissa saattoi viitata ulkoiseen osallistumiseen takaoven luomiseen ja jakeluun, mutta Sentinel Labs ei usko, että näin on Pierogi++:n tapauksessa.
Sentinel Labs havaitsi, että molemmilla varianteilla on koodaus ja toiminnallisuus yhtäläisyyksiä joistakin eroista huolimatta. Näitä ovat identtiset väärennetyt asiakirjat, tiedustelutaktiikat ja haittaohjelmasarjat. Esimerkiksi hakkerit voivat käyttää molempia takaovia kuvakaappauksiin, tiedostojen lataamiseen ja komentojen suorittamiseen.
Tutkijat sanoivat, että Pierogi++ on todiste siitä, että Gaza Cybergang tukee haittaohjelmiensa "ylläpitoa ja innovaatiota" pyrkiäkseen "parantamaan sen ominaisuuksia ja välttämään havaitsemista haittaohjelmien tunnettujen ominaisuuksien perusteella".
Ei uutta toimintaa lokakuun jälkeen
Vaikka Gaza Cybergang on kohdistanut kohteen palestiinalaisiin ja israelilaisiin uhreihin pääasiassa "tiedonkeruu- ja vakoilukampanjoissa" vuodesta 2012 lähtien, ryhmä ei ole lisännyt toimintansa perustasoa Gazan konfliktin lokakuun alkamisen jälkeen. Milenkoski sanoo, että ryhmä on johdonmukaisesti kohdistanut "ensisijaisesti Israelin ja Palestiinan entiteettien ja yksilöiden" viime vuosina.
Ryhmään kuuluu useita "vierekkäisiä alaryhmiä", jotka ovat jakaneet tekniikoita, prosesseja ja haittaohjelmia viimeisen viiden vuoden ajan, Sentinel Labs huomautti.
"Näihin kuuluu Gaza Cybergang Group 1 (Moleratit), Gaza Cybergang Group 2 (Kuiva Viper, Desert Falcons, APT-C-23) ja Gaza Cybergang Group 3 (jäljempänä oleva ryhmä) Operaatio parlamentti), tutkijat sanoivat.
Vaikka Gaza Cybergang on toiminut Lähi-idässä yli kymmenen vuoden ajan, sen hakkereiden tarkkaa fyysistä sijaintia ei vielä tiedetä. Aiempien tiedustelutietojen perusteella Milenkoski kuitenkin uskoo, että ne ovat todennäköisesti hajallaan arabiankielisessä maailmassa, esimerkiksi Egyptissä, Palestiinassa ja Marokossa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :on
- :On
- :missä
- $ YLÖS
- 1
- 2012
- 2022
- 2023
- a
- poikki
- Toiminta
- aktiivinen
- toiminta
- toiminta
- vierekkäinen
- Asioiden
- sitten
- tavoitteena
- Myös
- an
- ja
- sovellukset
- arabialainen
- Archive
- OVAT
- AS
- At
- Hyökkäykset
- takaoven
- Takaportteja
- perustua
- Lähtötilanne
- ollut
- takana
- Uskoa
- uskoo
- välillä
- tarjous
- sekä
- mutta
- by
- C + +
- Kampanjat
- CAN
- kyvyt
- tapaus
- tapauksissa
- Muutokset
- ominaisuudet
- Koodaus
- kokoelma
- käsittää
- konflikti
- johdonmukainen
- johdonmukaisesti
- sisälsi
- luominen
- tumma
- Pimeää luettavaa
- vuosikymmen
- Delfoi
- käyttöön
- on kuvattu
- DESERT
- suunniteltu
- Huolimatta
- Detection
- ero
- erot
- keskusteltiin
- dispergoituneena
- jaettu
- jakelu
- asiakirja
- asiakirjat
- doesnt
- download
- dynamiikka
- Itään
- Egypti
- mahdollistaa
- sitoumukset
- Tekniikka
- Englanti
- parantaa
- yksiköt
- vakoilu
- vakiintunut
- Eetteri (ETH)
- kiertää
- täytäntöönpanosta
- selittää
- ulkoinen
- harvat
- filee
- Asiakirjat
- viisi
- varten
- Entinen
- alkaen
- toiminnallisuus
- Jengi
- Hallitus
- Ryhmä
- hakkerit
- hakkerointi
- Olla
- Kuitenkin
- HTTPS
- identtinen
- in
- sisältää
- mukana
- kasvoi
- henkilöt
- Innovaatio
- esimerkki
- Älykkyys
- tulee
- osallistuminen
- Iran
- israelilainen
- IT
- SEN
- itse
- jpg
- tunnettu
- Labs
- Kieli
- kielet
- käynnistää
- pitää
- Todennäköisesti
- sijainti
- Makro
- makrot
- tärkein
- huolto
- haittaohjelmat
- Saattaa..
- Keskimmäinen
- Lähi-itä
- ministeriö
- lisää
- Marokko
- moninkertainen
- lähes
- Uusi
- uudempi
- Nro
- huomattava
- Havaittu
- lokakuu
- of
- Office
- usein
- on
- avaaminen
- alkuperäinen
- yli
- Palestiina
- Ohi
- Phishing
- tietojenkalasteluhyökkäykset
- fyysinen
- paikat
- Platon
- Platonin tietotieto
- PlatonData
- poliittinen
- poliittisesti
- pääasiallisesti
- edellinen
- pääasiallisesti
- Prosessit
- Ohjelmointi
- ohjelmointikielet
- todiste
- Lukeminen
- äskettäinen
- pakolaiset
- liittyvä
- raportti
- tutkija
- Tutkijat
- Said
- sanoo
- suunniteltu
- Näytön
- vanhempi
- SentinelOne
- tilitys
- useat
- jakaminen
- näyttää
- merkittävä
- yhtäläisyyksiä
- koska
- tilanne
- sosiaalinen
- Sosiaalinen insinööri
- jonkin verran
- levitä
- Alkaa
- Osavaltio
- Yhä
- niin
- Syyria
- T
- taktiikka
- kohdennettu
- kohdistaminen
- tavoitteet
- tehtävät
- tekniikat
- kertoo
- kuin
- että
- -
- teemalla
- Teemat
- Nämä
- ne
- tätä
- uhkaus
- Kautta
- kauttaaltaan
- että
- Aiheet
- tyypillisesti
- ukrainalainen
- tuntematon
- päivitetty
- päälle
- käyttää
- käytetty
- käyttäjä
- käyttötarkoituksiin
- käyttämällä
- hyödyllisyys
- variantti
- vaihtelut
- versio
- kautta
- uhrit
- tilavuus
- Seinä
- sota
- joka
- vaikka
- KUKA
- ikkunat
- with
- maailman-
- kirjoitti
- vuotta
- zephyrnet
