Sekelompok penyerang pro-Hamas yang dikenal sebagai Gaza Cybergang menggunakan variasi baru dari malware pintu belakang Pierogi++ untuk melancarkan serangan terhadap sasaran Palestina dan Israel.
Menurut penelitian dari Sentinel Labs, pintu belakang didasarkan pada bahasa pemrograman C++ dan telah digunakan dalam kampanye antara tahun 2022 dan 2023. Penyerang juga telah menggunakan Mikropsia malware dalam kampanye peretasan baru-baru ini di Timur Tengah.
“Aktivitas Cybergang Gaza baru-baru ini menunjukkan penargetan yang konsisten terhadap entitas Palestina, tanpa ada perubahan signifikan dalam dinamika sejak dimulainya perang Israel-Hamas,” tulis peneliti ancaman senior Sentinel Labs, Aleksandar Milenkoski dalam laporannya.
Mendistribusikan Malware
Para peretas mendistribusikan malware Pierogi++ menggunakan file arsip dan dokumen Office berbahaya yang membahas topik Palestina dalam bahasa Inggris dan Arab. Ini berisi artefak Windows seperti tugas terjadwal dan aplikasi utilitas, termasuk makro berisi malware yang dirancang untuk menyebarkan pintu belakang Pierogi++.
Milenkoski mengatakan kepada Dark Reading bahwa Cybergang Gaza menggunakan serangan phishing dan keterlibatan berbasis media sosial untuk menyebarkan file berbahaya tersebut.
“Didistribusikan melalui dokumen Office yang berbahaya, Pierogi++ disebarkan oleh makro Office saat pengguna membuka dokumen tersebut,” jelas Milenkoski. “Dalam kasus di mana pintu belakang disebarluaskan melalui file arsip, biasanya ia menyamarkan dirinya sebagai dokumen bertema politik mengenai urusan Palestina, menipu pengguna untuk mengeksekusinya melalui tindakan klik dua kali.”
Banyak dokumen yang menggunakan tema politik untuk memikat korbannya dan mengeksekusi pintu belakang Pierogi++, seperti: “Situasi pengungsi Palestina di Suriah pengungsi di Suriah” dan “Kementerian Negara Urusan Tembok dan Permukiman yang dibentuk oleh pemerintah Palestina.”
Pierogi Asli
Jenis malware baru ini adalah versi terbaru dari pintu belakang Pierogi, yang peneliti di Cybereason diidentifikasi hampir lima tahun lalu.
Para peneliti tersebut menggambarkan pintu belakang memungkinkan “penyerang memata-matai korban yang ditargetkan” dengan menggunakan rekayasa sosial dan dokumen palsu, seringkali berdasarkan topik politik yang berkaitan dengan pemerintah Palestina, Mesir, Hizbullah, dan Iran.
Perbedaan utama antara backdoor Pierogi asli dan varian yang lebih baru adalah versi pertama menggunakan bahasa pemrograman Delphi dan Pascal, sedangkan versi kedua menggunakan C++.
Variasi lama dari pintu belakang ini juga menggunakan perintah pintu belakang Ukraina 'vydalyty', 'Zavantazhyty', dan 'Ekspertyza'. Pierogi++ menggunakan string bahasa Inggris 'download' dan 'screen'.
Penggunaan bahasa Ukraina di Pierogi versi sebelumnya mungkin menunjukkan keterlibatan eksternal dalam pembuatan dan distribusi pintu belakang, namun Sentinel Labs tidak yakin hal ini berlaku untuk Pierogi++.
Sentinel Labs mengamati bahwa kedua varian memiliki kesamaan pengkodean dan fungsionalitas meskipun ada beberapa perbedaan. Ini termasuk dokumen palsu yang identik, taktik pengintaian, dan rangkaian malware. Misalnya, peretas dapat menggunakan pintu belakang untuk mengambil tangkapan layar, mengunduh file, dan menjalankan perintah.
Para peneliti mengatakan Pierogi++ adalah bukti bahwa Gaza Cybergang menopang “pemeliharaan dan inovasi” malware-nya dalam upaya untuk “meningkatkan kemampuannya dan menghindari deteksi berdasarkan karakteristik malware yang diketahui.”
Tidak Ada Aktivitas Baru Sejak Oktober
Meskipun Gaza Cybergang telah menargetkan korban warga Palestina dan Israel dalam kampanye “pengumpulan intelijen dan spionase” sejak tahun 2012, kelompok tersebut belum meningkatkan volume aktivitasnya sejak dimulainya konflik Gaza pada bulan Oktober. Milenkoski mengatakan kelompok tersebut secara konsisten menargetkan “terutama entitas dan individu Israel dan Palestina” selama beberapa tahun terakhir.
Geng tersebut terdiri dari beberapa “sub-kelompok yang berdekatan” yang telah berbagi teknik, proses, dan malware selama lima tahun terakhir, kata Sentinel Labs.
“Ini termasuk Gaza Cybergang Group 1 (Molerat), Grup Cybergang Gaza 2 (Viper Kering, Desert Falcons, APT-C-23), dan Gaza Cybergang Group 3 (kelompok di belakang Operasi Parlemen),” kata para peneliti.
Meskipun Gaza Cybergang telah aktif di Timur Tengah selama lebih dari satu dekade, lokasi fisik para peretasnya masih belum diketahui. Namun, berdasarkan intelijen sebelumnya, Milenkoski yakin mereka kemungkinan besar tersebar di negara-negara berbahasa Arab seperti Mesir, Palestina, dan Maroko.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :memiliki
- :adalah
- :Di mana
- $NAIK
- 1
- 2012
- 2022
- 2023
- a
- di seluruh
- Tindakan
- aktif
- kegiatan
- kegiatan
- berdekatan
- Urusan
- silam
- tujuan
- juga
- an
- dan
- aplikasi
- Arab
- arsip
- ADALAH
- AS
- At
- Serangan
- pintu belakang
- backdoors
- berdasarkan
- Dasar
- menjadi
- di belakang
- Percaya
- percaya
- antara
- tawaran
- kedua
- tapi
- by
- C + +
- Kampanye
- CAN
- kemampuan
- kasus
- kasus
- Perubahan
- karakteristik
- Pengkodean
- koleksi
- terdiri dari
- konflik
- konsisten
- secara konsisten
- berisi
- penciptaan
- gelap
- Bacaan gelap
- dasawarsa
- Delphi
- dikerahkan
- dijelaskan
- GURUN
- dirancang
- Meskipun
- Deteksi
- perbedaan
- perbedaan
- dibahas
- tersebar
- didistribusikan
- distribusi
- dokumen
- dokumen
- doesn
- Download
- dinamika
- Timur
- Mesir
- memungkinkan
- Pertunangan
- Teknik
- Inggris
- mempertinggi
- entitas
- spionase
- mapan
- Eter (ETH)
- melarikan diri
- mengeksekusi
- Menjelaskan
- luar
- beberapa
- File
- File
- lima
- Untuk
- Bekas
- dari
- fungsi
- Gang
- Pemerintah
- Kelompok
- hacker
- peretasan
- Memiliki
- Namun
- HTTPS
- identik
- in
- memasukkan
- termasuk
- Pada meningkat
- individu
- Innovation
- contoh
- Intelijen
- ke
- keterlibatan
- Iran
- Israel
- IT
- NYA
- Diri
- jpg
- dikenal
- Labs
- bahasa
- Bahasa
- jalankan
- 'like'
- Mungkin
- tempat
- Makro
- Macro
- Utama
- pemeliharaan
- malware
- Mungkin..
- Tengah
- Timur Tengah
- kementerian
- lebih
- kulit kambing yg halus
- beberapa
- hampir
- New
- baru
- tidak
- terkenal
- diamati
- Oktober
- of
- Office
- sering
- on
- pembukaan
- asli
- lebih
- Palestina
- lalu
- Phishing
- serangan phishing
- fisik
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- politik
- secara politis
- terutama
- sebelumnya
- terutama
- proses
- Pemrograman
- bahasa pemrograman
- bukti
- Bacaan
- baru
- pengungsi
- terkait
- melaporkan
- peneliti
- peneliti
- Tersebut
- mengatakan
- dijadwalkan
- Layar
- senior
- SentinelSatu
- penyelesaian
- beberapa
- berbagi
- Menunjukkan
- penting
- kesamaan
- sejak
- situasi
- Sosial
- Rekayasa Sosial
- beberapa
- penyebaran
- awal
- Negara
- Masih
- seperti itu
- Suriah
- T
- taktik
- ditargetkan
- penargetan
- target
- tugas
- teknik
- mengatakan
- dari
- bahwa
- Grafik
- Bertema
- tema
- Ini
- mereka
- ini
- ancaman
- Melalui
- di seluruh
- untuk
- Topik
- khas
- Ukraina
- tidak dikenal
- diperbarui
- atas
- menggunakan
- bekas
- Pengguna
- kegunaan
- menggunakan
- kegunaan
- Varian
- variasi
- versi
- melalui
- korban
- volume
- Dinding
- perang
- yang
- sementara
- SIAPA
- Windows
- dengan
- dunia
- menulis
- tahun
- zephyrnet.dll
