Les cyberattaquants pro-Hamas ciblent le logiciel malveillant « Pierogi » sur plusieurs cibles au Moyen-Orient

Un groupe d'attaquants pro-Hamas connu sous le nom de Gaza Cybergang utilise une nouvelle variante du malware de porte dérobée Pierogi++ pour lancer des attaques sur des cibles palestiniennes et israéliennes.

Selon recherche de Sentinel Labs, la porte dérobée est basée sur le langage de programmation C++ et a été utilisée dans des campagnes entre 2022 et 2023. Les attaquants ont également utilisé le Micropsie malware lors de récentes campagnes de piratage à travers le Moyen-Orient.

« Les récentes activités du Cybergang de Gaza montrent un ciblage constant des entités palestiniennes, sans aucun changement significatif observé dans la dynamique depuis le début de la guerre entre Israël et le Hamas », a écrit Aleksandar Milenkoski, chercheur principal sur les menaces chez Sentinel Labs, dans le rapport.

Distribution du logiciel malveillant

Les pirates ont distribué le logiciel malveillant Pierogi++ à l'aide de fichiers d'archives et de documents Office malveillants traitant de sujets palestiniens en anglais et en arabe. Ceux-ci contenaient des artefacts Windows tels que des tâches planifiées et des applications utilitaires, qui comprenaient des macros contenant des logiciels malveillants conçues pour propager la porte dérobée Pierogi++.

Milenkoski raconte à Dark Reading que le Cybergang de Gaza a utilisé des attaques de phishing et des engagements sur les réseaux sociaux pour faire circuler les fichiers malveillants.

« Distribué via un document Office malveillant, Pierogi++ est déployé par une macro Office lorsque l'utilisateur ouvre le document », explique Milenkoski. « Dans les cas où la porte dérobée est diffusée via un fichier d’archive, elle se camoufle généralement comme un document à thème politique sur les affaires palestiniennes, trompant l’utilisateur et l’obligeant à l’exécuter par un double-clic. »

De nombreux documents utilisaient des thèmes politiques pour attirer leurs victimes et exécuter la porte dérobée de Pierogi++, tels que : « La situation des réfugiés palestiniens en Syrie, les réfugiés en Syrie » et « Le ministère d'État chargé des affaires du mur et des colonies établi par le gouvernement palestinien ».

Le Pierogi original

Cette nouvelle souche de malware est une version mise à jour de la porte dérobée Pierogi, que les chercheurs de Cybereason identifié il y a près de cinq ans.

Ces chercheurs ont décrit la porte dérobée comme permettant « aux attaquants d’espionner des victimes ciblées » en utilisant l’ingénierie sociale et des documents falsifiés, souvent basés sur des sujets politiques liés au gouvernement palestinien, à l’Égypte, au Hezbollah et à l’Iran.

La principale différence entre la porte dérobée originale de Pierogi et la variante la plus récente est que la première utilise les langages de programmation Delphi et Pascal, tandis que la seconde utilise C++.

Des variantes plus anciennes de cette porte dérobée utilisaient également les commandes de porte dérobée ukrainiennes « vydalyty », « Zavantazhyty » et « Ekspertyza ». Pierogi++ utilise les chaînes anglaises « download » et « screen ».

L'utilisation de l'ukrainien dans les versions précédentes de Pierogi a peut-être suggéré une implication externe dans la création et la distribution de la porte dérobée, mais Sentinel Labs ne pense pas que ce soit le cas pour Pierogi++.

Sentinel Labs a observé que les deux variantes présentent des similitudes en matière de codage et de fonctionnalités malgré quelques différences. Ceux-ci incluent des documents falsifiés identiques, des tactiques de reconnaissance et des chaînes de logiciels malveillants. Par exemple, les pirates peuvent utiliser les deux portes dérobées pour effectuer des captures d’écran, télécharger des fichiers et exécuter des commandes.

Les chercheurs ont déclaré que Pierogi++ est la preuve que Gaza Cybergang renforce « la maintenance et l’innovation » de ses logiciels malveillants dans le but « d’améliorer ses capacités et d’échapper à la détection basée sur les caractéristiques connues des logiciels malveillants ».

Aucune nouvelle activité depuis octobre

Alors que Gaza Cybergang cible les victimes palestiniennes et israéliennes dans le cadre de campagnes principalement de « collecte de renseignements et d'espionnage » depuis 2012, le groupe n'a pas augmenté son volume d'activité de base depuis le début du conflit à Gaza en octobre. Milenkoski affirme que le groupe a systématiquement ciblé « principalement des entités et des individus israéliens et palestiniens » au cours des dernières années.

Le gang comprend plusieurs « sous-groupes adjacents » qui partagent des techniques, des processus et des logiciels malveillants depuis cinq ans, a noté Sentinel Labs.

« Il s’agit notamment du Groupe 1 du Cybergang de Gaza (Molérats), Groupe Cybergang de Gaza 2 (Vipère aride, Desert Falcons, APT-C-23) et Gaza Cybergang Group 3 (le groupe derrière Opération Parlement) », ont déclaré les chercheurs.

Bien que Gaza Cybergang soit actif au Moyen-Orient depuis plus d’une décennie, la localisation physique exacte de ses pirates informatiques est encore inconnue. Cependant, sur la base de renseignements antérieurs, Milenkoski pense qu’ils sont probablement dispersés dans le monde arabophone, dans des pays comme l’Égypte, la Palestine et le Maroc.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets