Un gruppo di aggressori pro-Hamas noto come Gaza Cybergang sta utilizzando una nuova variante del malware backdoor Pierogi++ per lanciare attacchi contro obiettivi palestinesi e israeliani.
Secondo ricerca dei Sentinel Labs, la backdoor si basa sul linguaggio di programmazione C++ ed è stata utilizzata nelle campagne tra il 2022 e il 2023. Gli aggressori hanno utilizzato anche il Micropsia malware nelle recenti campagne di hacking in tutto il Medio Oriente.
“Le recenti attività delle cybergang di Gaza mostrano un costante attacco contro entità palestinesi, senza che siano stati osservati cambiamenti significativi nelle dinamiche dall’inizio della guerra tra Israele e Hamas”, ha scritto nel rapporto Aleksandar Milenkoski, ricercatore senior sulle minacce di Sentinel Labs.
Distribuzione del malware
Gli hacker hanno distribuito il malware Pierogi++ utilizzando file di archivio e documenti Office dannosi che trattavano argomenti palestinesi sia in inglese che in arabo. Questi contenevano artefatti di Windows come attività pianificate e applicazioni di utilità, che includevano macro piene di malware progettate per diffondere la backdoor Pierogi++.
Milenkoski dice a Dark Reading che la Gaza Cybergang ha utilizzato attacchi di phishing e interazioni basate sui social media per far circolare i file dannosi.
"Distribuito tramite un documento Office dannoso, Pierogi++ viene distribuito da una macro di Office quando l'utente apre il documento", spiega Milenkoski. “Nei casi in cui la backdoor viene diffusa tramite un file di archivio, in genere si camuffa come un documento a tema politico sugli affari palestinesi, inducendo l’utente ad eseguirlo tramite un’azione di doppio clic”.
Molti documenti utilizzavano temi politici per adescare le vittime e mettere in atto la backdoor di Pierogi++, come ad esempio: “La situazione dei rifugiati palestinesi in Siria” e “Il Ministero di Stato per gli affari del muro e degli insediamenti istituito dal governo palestinese”.
Il Pierogi originale
Questo nuovo ceppo di malware è una versione aggiornata della backdoor Pierogi, sviluppata dai ricercatori di Cybereason identificato quasi cinque anni fa.
Questi ricercatori hanno descritto la backdoor come se permettesse agli “aggressori di spiare le vittime prese di mira” utilizzando ingegneria sociale e documenti falsificati, spesso basati su argomenti politici legati al governo palestinese, all’Egitto, a Hezbollah e all’Iran.
La differenza principale tra la backdoor originale Pierogi e la variante più recente è che la prima utilizza i linguaggi di programmazione Delphi e Pascal, mentre la seconda utilizza C++.
Le versioni precedenti di questa backdoor utilizzavano anche i comandi backdoor ucraini "vydalyty", "Zavantazhyty" e "Ekspertyza". Pierogi++ utilizza le stringhe inglesi 'download' e 'screen'.
L'uso dell'ucraino nelle versioni precedenti di Pierogi potrebbe aver suggerito un coinvolgimento esterno nella creazione e distribuzione della backdoor, ma Sentinel Labs non crede che questo sia il caso di Pierogi++.
Sentinel Labs ha osservato che entrambe le varianti presentano somiglianze nella codifica e nella funzionalità nonostante alcune differenze. Questi includono documenti falsificati identici, tattiche di ricognizione e stringhe di malware. Ad esempio, gli hacker possono utilizzare entrambe le backdoor per fare screenshot, scaricare file ed eseguire comandi.
I ricercatori hanno affermato che Pierogi++ è la prova che Gaza Cybergang sta sostenendo la “manutenzione e l’innovazione” del suo malware nel tentativo di “migliorare le sue capacità ed eludere il rilevamento in base alle caratteristiche note del malware”.
Nessuna nuova attività da ottobre
Sebbene Gaza Cybergang abbia preso di mira vittime palestinesi e israeliane prevalentemente in campagne di “raccolta di informazioni e spionaggio” dal 2012, il gruppo non ha aumentato il volume di attività di base dall’inizio del conflitto di Gaza in ottobre. Milenkoski afferma che negli ultimi anni il gruppo ha costantemente preso di mira “principalmente entità e individui israeliani e palestinesi”.
La banda comprende diversi “sottogruppi adiacenti” che hanno condiviso tecniche, processi e malware negli ultimi cinque anni, ha osservato Sentinel Labs.
“Questi includono Gaza Cybergang Group 1 (molerati), Gruppo Cybergang di Gaza 2 (Vipera arida, Desert Falcons, APT-C-23) e Gaza Cybergang Group 3 (il gruppo dietro Operazione Parlamento)", hanno detto i ricercatori.
Sebbene Gaza Cybergang sia attiva in Medio Oriente da più di un decennio, l’esatta ubicazione fisica dei suoi hacker è ancora sconosciuta. Tuttavia, sulla base delle precedenti informazioni di intelligence, Milenkoski ritiene che siano probabilmente dispersi in tutto il mondo di lingua araba in luoghi come Egitto, Palestina e Marocco.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :ha
- :È
- :Dove
- $ SU
- 1
- 2012
- 2022
- 2023
- a
- operanti in
- Action
- attivo
- attività
- attività
- adiacente
- Affari
- fa
- puntare
- anche
- an
- ed
- applicazioni
- Arabo
- Archivio
- SONO
- AS
- At
- attacchi
- porta posteriore
- Backdoor
- basato
- Linea di base
- stato
- dietro
- CREDIAMO
- crede
- fra
- offerta
- entrambi
- ma
- by
- C++
- Responsabile Campagne
- Materiale
- funzionalità
- Custodie
- casi
- Modifiche
- caratteristiche
- codifica
- collezione
- incluso
- conflitto
- coerente
- costantemente
- contenute
- creazione
- Scuro
- Lettura oscura
- decennio
- Delphi
- schierato
- descritta
- DESERTO
- progettato
- Nonostante
- rivelazione
- differenza
- differenze
- discusso
- dispersi
- distribuito
- distribuzione
- documento
- documenti
- doesn
- scaricare
- dinamica
- est
- Egitto
- consentendo
- impegni
- Ingegneria
- Inglese
- accrescere
- entità
- spionaggio
- sviluppate
- Etere (ETH)
- Evade
- esecuzione
- Spiega
- esterno
- pochi
- Compila il
- File
- cinque
- Nel
- Ex
- da
- funzionalità
- banda
- Enti Pubblici
- Gruppo
- hacker
- pirateria informatica
- Avere
- Tuttavia
- HTTPS
- identico
- in
- includere
- incluso
- è aumentato
- individui
- Innovazione
- esempio
- Intelligence
- ai miglioramenti
- coinvolgimento
- Iran
- israeliano
- IT
- SUO
- stessa
- jpg
- conosciuto
- Labs
- Lingua
- Le Lingue
- lanciare
- piace
- probabile
- località
- Macro
- macro
- Principale
- manutenzione
- il malware
- Maggio..
- In mezzo
- Medio Oriente
- ministero
- Scopri di più
- Marocco
- multiplo
- quasi
- New
- più nuovo
- no
- noto
- osservato
- ottobre
- of
- Office
- di frequente
- on
- apertura
- i
- ancora
- Palestina
- passato
- phishing
- attacchi di phishing
- Fisico
- Partner
- Platone
- Platone Data Intelligence
- PlatoneDati
- politico
- politicamente
- prevalentemente
- precedente
- principalmente
- i processi
- Programmazione
- linguaggi di programmazione
- prova
- Lettura
- recente
- rifugiati
- relazionato
- rapporto
- ricercatore
- ricercatori
- Suddetto
- dice
- in programma
- allo
- anziano
- Sentinella Uno
- insediamento
- alcuni
- compartecipazione
- mostrare attraverso le sue creazioni
- significativa
- somiglianze
- da
- situazione
- Social
- Ingegneria sociale
- alcuni
- diffondere
- inizia a
- Regione / Stato
- Ancora
- tale
- Siria
- T
- tattica
- mirata
- mira
- obiettivi
- task
- tecniche
- dice
- di
- che
- Il
- a tema
- temi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- minaccia
- Attraverso
- per tutto
- a
- Argomenti
- tipicamente
- ucraino
- Sconosciuto
- aggiornato
- su
- uso
- utilizzato
- Utente
- usa
- utilizzando
- utilità
- Variante
- variazioni
- versione
- via
- vittime
- volume
- Muro
- guerra
- quale
- while
- OMS
- finestre
- con
- mondo
- ha scritto
- anni
- zefiro
