プロハマスのサイバー攻撃者が「ピエロギ」マルウェアを中東の複数の標的に狙う

ガザサイバーギャングとして知られる親ハマス攻撃者のグループは、Pierogi++ バックドアマルウェアの新しいバリエーションを使用して、パレスチナとイスラエルの標的への攻撃を開始しています。

による Sentinel Labs の研究、バックドアは C++ プログラミング言語に基づいており、2022 年から 2023 年にかけてキャンペーンで使用されました。攻撃者はまた、 小視症 中東全域での最近のハッキング キャンペーンにおけるマルウェア。

「最近のガザ・サイバーギャングの活動は一貫してパレスチナ人実体を標的にしていることを示しており、イスラエル・ハマス戦争開始以来、力関係に大きな変化は観察されていない」とセンチネル・ラボの上級脅威研究者アレクサンダー・ミレンコスキは報告書の中で述べている。

マルウェアの配布

ハッカーは、英語とアラビア語の両方でパレスチナのトピックについて議論したアーカイブ ファイルと悪意のある Office ドキュメントを使用して、Pierogi++ マルウェアを配布しました。これらには、スケジュールされたタスクやユーティリティ アプリケーションなどの Windows アーティファクトが含まれており、これには Pierogi++ バックドアを拡散するように設計されたマルウェア入りマクロが含まれていました。

ミレンコスキ氏はダーク・リーディングに対し、ガザ・サイバーギャングがフィッシング攻撃やソーシャルメディアベースの関与を利用して悪意のあるファイルを流通させたと語った。

「悪意のある Office ドキュメントを通じて配布される Pierogi++ は、ユーザーがドキュメントを開いたときに Office マクロによって展開されます」と、Milenkoski 氏は説明します。 「バックドアがアーカイブ ファイルを介して拡散される場合、通常、バックドアはパレスチナ問題に関する政治的テーマの文書であるかのように偽装し、ユーザーをだましてダブルクリック操作でバックドアを実行させます。」

文書の多くは、「シリアにおけるパレスチナ難民の状況」や「パレスチナ政府が設立した壁・入植問題担当国務省」など、被害者を誘い出し、ピエロギ++のバックドアを実行するための政治的テーマを使用していた。

オリジナルピエロギ

この新しいマルウェア株は、Cyber​​eason の研究者による Pierogi バックドアの更新バージョンです。 特定され ほぼXNUMX年前。

これらの研究者らは、このバックドアにより、ソーシャル エンジニアリングやなりすまし文書を使用して「攻撃者が標的の被害者をスパイする」ことが可能になると説明しており、その多くはパレスチナ政府、エジプト、ヒズボラ、イランに関連する政治的話題に基づいているとのことだ。

元の Pierogi バックドアと新しい亜種の主な違いは、前者は Delphi および Pascal プログラミング言語を使用するのに対し、後者は C++ を使用することです。

このバックドアの古いバリエーションでは、ウクライナのバックドア コマンド「vydalyty」、「Zavantazhyty」、「Ekspertyza」も使用されていました。 Pierogi++ は英語の文字列「download」と「screen」を使用します。

Pierogi の以前のバージョンでのウクライナ語の使用は、バックドアの作成と配布に外部が関与していることを示唆している可能性がありますが、Sentinel Labs は、これが Pierogi++ に当てはまるとは考えていません。

Sentinel Labs は、いくつかの違いはあるものの、両方の亜種にコーディングと機能の類似点があることを観察しました。これらには、同一のなりすまし文書、偵察戦術、マルウェア文字列が含まれます。たとえば、ハッカーは両方のバックドアを使用して、スクリーンショットの撮影、ファイルのダウンロード、コマンドの実行を行うことができます。

研究者らは、ピエロギ++はガザ・サイバーギャングが「機能を強化し、既知のマルウェアの特徴に基づく検出を回避する」ためにマルウェアの「保守と革新」を強化している証拠だと述べた。

XNUMX月以降新たな活動はありません

ガザサイバーギャングは2012年以来、主に「情報収集とスパイ活動」キャンペーンでパレスチナ人とイスラエル人の犠牲者をターゲットにしてきたが、同グループはXNUMX月にガザ紛争が始まって以来、基本的な活動量を増やしていない。ミレンコスキー氏は、このグループは過去数年間、一貫して「主にイスラエルとパレスチナの団体および個人」をターゲットにしてきたと述べた。

Sentinel Labs によると、このギャングは、過去 XNUMX 年間、技術、プロセス、マルウェアを共有してきたいくつかの「隣接するサブグループ」で構成されています。

「これらにはガザサイバーギャンググループ1（モレラット)、ガザサイバーギャンググループ 2 (乾燥した毒蛇、デザート ファルコンズ、APT-C-23）、ガザ サイバーギャング グループ 3（背後のグループ） 議会運営）」と研究者らは述べた。

ガザサイバーギャングはXNUMX年以上中東で活動しているが、ハッカーたちの正確な物理的位置は依然として不明である。しかし、これまでの情報に基づいて、ミレンコスキー氏は、彼らはエジプト、パレスチナ、モロッコなどのアラビア語圏に散らばっている可能性が高いと考えています。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets