하마스 옹호 사이버 공격자들, 중동의 여러 표적을 겨냥한 'Pierogi' 악성코드 노려

Gaza Cybergang으로 알려진 친하마스 공격자 그룹은 Pierogi++ 백도어 악성 코드의 새로운 변종을 사용하여 팔레스타인과 이스라엘 대상을 공격하고 있습니다.

에 따르면 Sentinel Labs의 연구, 백도어는 C++ 프로그래밍 언어를 기반으로 하며 2022년부터 2023년 사이의 캠페인에서 사용되었습니다. 공격자는 또한 소시 최근 중동 전역의 해킹 캠페인에서 발생한 악성 코드.

Sentinel Labs의 수석 위협 연구원인 Aleksandar Milenkoski는 보고서에서 “최근 가자 사이버갱 활동은 팔레스타인 단체를 일관되게 표적으로 삼는 것으로 나타났으며, 이스라엘-하마스 전쟁이 시작된 이후 역학 관계에 큰 변화가 관찰되지 않았습니다.”라고 썼습니다.

악성코드 배포

해커는 영어와 아랍어로 팔레스타인 주제를 논의하는 아카이브 파일과 악성 Office 문서를 사용하여 Pierogi++ 악성코드를 배포했습니다. 여기에는 Pierogi++ 백도어를 확산시키도록 설계된 악성 코드가 포함된 매크로가 포함된 예약된 작업 및 유틸리티 응용 프로그램과 같은 Windows 아티팩트가 포함되어 있습니다.

Milenkoski는 Gaza Cybergang이 악성 파일을 유포하기 위해 피싱 공격과 소셜 미디어 기반 참여를 사용했다고 Dark Reading에 말했습니다.

Milenkoski는 “악성 Office 문서를 통해 배포되는 Pierogi++는 사용자가 문서를 열 때 Office 매크로에 의해 배포됩니다.”라고 설명합니다. “백도어가 아카이브 파일을 통해 유포되는 경우 일반적으로 팔레스타인 문제에 대한 정치적 주제의 문서로 위장하여 사용자를 속여 더블 클릭 동작을 통해 백도어를 실행하도록 합니다.”

많은 문서는 피해자를 유인하고 Pierogi++ 백도어를 실행하기 위해 "시리아 난민의 팔레스타인 난민 상황", "팔레스타인 정부가 설립한 장벽 및 정착 문제 담당 국무부"와 같은 정치적 주제를 사용했습니다.

오리지널 피에로기

이 새로운 악성코드 변종은 Cybereason의 연구원들이 개발한 Pierogi 백도어의 업데이트 버전입니다. 확인 거의 XNUMX 년 전.

연구원들은 이 백도어가 팔레스타인 정부, 이집트, 헤즈볼라, 이란과 관련된 정치적 주제를 기반으로 하는 사회 공학 및 스푸핑 문서를 사용하여 “공격자가 표적 피해자를 염탐”할 수 있게 한다고 설명했습니다.

원본 Pierogi 백도어와 최신 변종의 주요 차이점은 전자는 Delphi 및 Pascal 프로그래밍 언어를 사용하는 반면 후자는 C++를 사용한다는 것입니다.

이 백도어의 이전 변종은 우크라이나어 백도어 명령 'vydalyty', 'Zavantazhyty' 및 'Ekspertyza'도 사용했습니다. Pierogi++는 영어 문자열 'download'와 'screen'을 사용합니다.

이전 버전의 Pierogi에서 우크라이나어를 사용했다는 사실은 백도어 생성 및 배포에 외부 개입이 있었음을 암시할 수 있지만 Sentinel Labs는 이것이 Pierogi++의 경우라고 믿지 않습니다.

Sentinel Labs는 두 변종 모두 약간의 차이점에도 불구하고 코딩 및 기능 유사성을 가지고 있음을 관찰했습니다. 여기에는 동일한 스푸핑 문서, 정찰 전술, 악성 코드 문자열이 포함됩니다. 예를 들어 해커는 스크린샷 작성, 파일 다운로드 및 명령 실행을 위해 두 백도어를 모두 사용할 수 있습니다.

연구원들은 Pierogi++가 Gaza Cybergang이 "기능을 강화하고 알려진 악성 코드 특성을 기반으로 한 탐지를 회피"하기 위해 악성 코드의 "유지 관리 및 혁신"을 강화하고 있다는 증거라고 말했습니다.

XNUMX월 이후 신규 활동 없음

Gaza Cybergang은 2012년부터 주로 "정보 수집 및 간첩" 캠페인을 통해 팔레스타인과 이스라엘 피해자를 표적으로 삼아 왔지만, 이 그룹은 XNUMX월 가자 분쟁이 시작된 이후 기본 활동 규모를 늘리지 않았습니다. Milenkoski는 이 그룹이 지난 몇 년 동안 "주로 이스라엘과 팔레스타인 단체 및 개인"을 지속적으로 표적으로 삼아 왔다고 말했습니다.

Sentinel Labs는 이 갱단이 지난 XNUMX년 동안 기술, 프로세스, 악성 코드를 공유해 온 여러 "인접한 하위 그룹"으로 구성되어 있다고 지적했습니다.

“여기에는 가자 사이버갱 그룹 1(Gaza Cybergang Group XNUMX)이 포함됩니다.몰라트), 가자 사이버갱 2군(건조한 독사, Desert Falcons, APT-C-23) 및 Gaza Cybergang Group 3(뒤에 있는 그룹) 의회 운영)”라고 연구진은 말했다.

Gaza Cybergang은 중동에서 XNUMX년 넘게 활동해 왔지만 해커들의 정확한 물리적 위치는 아직 알려지지 않았습니다. 그러나 이전 정보를 토대로 밀렌코스키는 그들이 이집트, 팔레스타인, 모로코 등 아랍어권 세계 전역에 흩어져 있을 가능성이 있다고 믿고 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets