תוקפי סייבר תומכי חמאס מכוונים 'Pierogi' תוכנה זדונית למטרות מרובות במזרח התיכון

תוקפי סייבר תומכי חמאס מכוונים 'Pierogi' תוכנה זדונית למטרות מרובות במזרח התיכון

חותמת זמן: 15 בדצמבר, 2023 1:51
צומת המקור: 3021137

קבוצה של תוקפים פרו-חמאס הידועים בשם הסייברגאנג של עזה משתמשת בגרסה חדשה של התוכנה הזדונית של דלת האחורית Pierogi++ כדי להפעיל התקפות על מטרות פלסטיניות וישראליות.

לפי מחקר ממעבדות Sentinel, הדלת האחורית מבוססת על שפת התכנות C++ ונעשה בה שימוש בקמפיינים בין 2022 ל-2023. התוקפים השתמשו גם ב- מיקרופסיה תוכנות זדוניות בקמפיינים של פריצה אחרונים ברחבי המזרח התיכון.

"פעילויות הסייברגאנג בעזה האחרונות מראות התמקדות עקבית בישויות פלסטיניות, ללא שינויים משמעותיים בדינמיקה מאז תחילת מלחמת ישראל-חמאס", כתב חוקר האיומים הבכיר של Sentinel Labs, אלכסנדר מילנקוסקי, בדו"ח.

הפצת התוכנה הזדונית

ההאקרים הפיצו את התוכנה הזדונית Pierogi++ באמצעות קובצי ארכיון ומסמכי Office זדוניים שדנו בנושאים פלסטיניים באנגלית ובערבית כאחד. אלה הכילו חפצים של Windows כמו משימות מתוזמנות ויישומי שירות, שכללו פקודות מאקרו נטולות תוכנות זדוניות שנועדו להפיץ את הדלת האחורית של Pierogi++.

מילנקוסקי אומר ל-Dark Reading שהסייבר-גאנג של עזה השתמש בהתקפות פישינג ובאינטראקציות מבוססות מדיה חברתית כדי להפיץ את הקבצים הזדוניים.

"מופץ באמצעות מסמך Office זדוני, Pierogi++ נפרס על ידי מאקרו של Office כשהמשתמש פותח את המסמך", מסביר מילנקוסקי. "במקרים שבהם הדלת האחורית מופצת באמצעות קובץ ארכיון, היא בדרך כלל מסווה את עצמה כמסמך בנושא פוליטי על ענייני פלסטינים, ומרמה את המשתמש לבצע אותו באמצעות פעולת לחיצה כפולה".

רבים מהמסמכים השתמשו בנושאים פוליטיים לפיתוי קורבנותיו ולביצוע הדלת האחורית של Pierogi++, כגון: "מצבם של פליטים פלסטינים בסוריה פליטים בסוריה" ו"משרד המדינה לענייני חומות והתיישבות שהוקם על ידי הממשלה הפלסטינית".

פיירוגי המקורי

זן תוכנות זדוניות חדש זה הוא גרסה מעודכנת של הדלת האחורית של Pierogi, שחוקרים ב-Cybereason מזוהה לפני כמעט חמש שנים.

אותם חוקרים תיארו את הדלת האחורית כמאפשרת ל"תוקפים לרגל אחר קורבנות ממוקדים" באמצעות הנדסה חברתית ומסמכים מזויפים, המבוססים לרוב על נושאים פוליטיים הקשורים לממשלה הפלסטינית, מצרים, חיזבאללה ואיראן.

ההבדל העיקרי בין הדלת האחורית המקורית של Pierogi לגרסה החדשה יותר הוא שהראשונה משתמשת בשפות התכנות דלפי ופסקל, בעוד שהשנייה משתמשת ב-C++.

וריאציות ישנות יותר של הדלת האחורית הזו השתמשו גם בפקודות הדלת האחורית האוקראינית 'vydalyty', 'Zvanantazhyty' ו-'Ekspertyza'. Pierogi++ משתמש במחרוזות האנגלית 'הורדה' ו'מסך'.

השימוש באוקראינית בגרסאות הקודמות של Pierogi אולי הצביע על מעורבות חיצונית ביצירה והפצה של הדלת האחורית, אבל Sentinel Labs לא מאמינה שזה המקרה של Pierogi++.

Sentinel Labs הבחינה שלשתי הגרסאות יש קווי דמיון בקידוד ובפונקציונליות למרות כמה הבדלים. אלה כוללים מסמכים מזויפים זהים, טקטיקות סיור ומחרוזות תוכנות זדוניות. לדוגמה, האקרים יכולים להשתמש בשתי הדלתות האחוריות לצילום מסך, הורדת קבצים וביצוע פקודות.

חוקרים אמרו ש-Pierogi++ היא הוכחה לכך שהסייברג'נג בעזה מחזקת את "התחזוקה והחדשנות" של התוכנה הזדונית שלה במטרה "לשפר את היכולות שלה ולהתחמק מזיהוי על סמך מאפיינים ידועים של תוכנות זדוניות".

אין פעילות חדשה מאז אוקטובר

בעוד שהסייברגאנג של עזה מכוון לקורבנות פלסטינים וישראלים בעיקר בקמפיינים של "איסוף מודיעין וריגול" מאז 2012, הקבוצה לא הגדילה את היקף הפעילות הבסיסי שלה מאז תחילת הסכסוך בעזה באוקטובר. מילנקוסקי אומר שהקבוצה מכוונת בעקביות ל"ישויות ויחידים ישראלים ופלסטיניים בעיקר" במהלך השנים האחרונות.

החבורה מורכבת מכמה "תת-קבוצות סמוכות" ששיתפו טכניקות, תהליכים ותוכנות זדוניות בחמש השנים האחרונות, ציינה Sentinel Labs.

"אלה כוללים את קבוצת הסייברגאנג בעזה 1 (מולרטים), קבוצת סייברגאנג עזה 2 (צפע צחיח, Desert Falcons, APT-C-23), וקבוצת סייברגאנג 3 של עזה (הקבוצה מאחורי מבצע פרלמנט)", אמרו החוקרים.

למרות שהסייברגאנג של עזה פעיל במזרח התיכון כבר יותר מעשור, המיקום הפיזי המדויק של ההאקרים שלה עדיין לא ידוע. עם זאת, בהתבסס על מידע מודיעיני קודם, מילנקוסקי מאמין שהם כנראה מפוזרים ברחבי העולם דובר הערבית במקומות כמו מצרים, פלסטין ומרוקו.

בול זמן:

עוד מ קריאה אפלה