Een groep pro-Hamas-aanvallers, bekend als de Gaza Cybergang, gebruikt een nieuwe variant van de Pierogi++ achterdeur-malware om aanvallen uit te voeren op Palestijnse en Israëlische doelen.
Think onderzoek van Sentinel Labs, de achterdeur is gebaseerd op de programmeertaal C++ en is gebruikt in campagnes tussen 2022 en 2023. De aanvallers hebben ook gebruik gemaakt van de Micropsie malware in recente hackcampagnes in het Midden-Oosten.
“Recente Cybergang-activiteiten in Gaza laten consistente doelwitten zien van Palestijnse entiteiten, zonder waargenomen significante veranderingen in de dynamiek sinds het begin van de oorlog tussen Israël en Hamas”, schreef Sentinel Labs senior dreigingsonderzoeker Aleksandar Milenkoski in het rapport.
Het verspreiden van de malware
De hackers verspreidden de Pierogi++-malware met behulp van archiefbestanden en kwaadaardige Office-documenten waarin Palestijnse onderwerpen zowel in het Engels als in het Arabisch werden besproken. Deze bevatten Windows-artefacten zoals geplande taken en hulpprogramma's, waaronder door malware geteisterde macro's die waren ontworpen om de Pierogi++-achterdeur te verspreiden.
Milenkoski vertelt Dark Reading dat de Gaza Cybergang phishing-aanvallen en op sociale media gebaseerde acties gebruikte om de kwaadaardige bestanden te verspreiden.
“Pierogi++ wordt verspreid via een kwaadaardig Office-document en wordt door een Office-macro ingezet zodra de gebruiker het document opent”, legt Milenkoski uit. “In gevallen waarin de achterdeur wordt verspreid via een archiefbestand, camoufleert deze zichzelf doorgaans als een document met een politiek thema over Palestijnse zaken, waardoor de gebruiker wordt misleid om deze uit te voeren via een dubbelklikactie.”
Veel van de documenten gebruikten politieke thema’s om de slachtoffers te lokken en de achterdeur van Pierogi++ te executeren, zoals: “De situatie van Palestijnse vluchtelingen in Syrië vluchtelingen in Syrië” en “Het Ministerie van Staat voor Muur- en Nederzettingszaken opgericht door de Palestijnse regering.”
De originele Pierogi
Deze nieuwe malwaresoort is een bijgewerkte versie van de Pierogi-achterdeur, die onderzoekers van Cybereason hebben ontwikkeld geïdentificeerd bijna vijf jaar geleden.
Deze onderzoekers beschreven de achterdeur als een mogelijkheid voor “aanvallers om gerichte slachtoffers te bespioneren” met behulp van social engineering en vervalste documenten, vaak gebaseerd op politieke onderwerpen die verband houden met de Palestijnse regering, Egypte, Hezbollah en Iran.
Het belangrijkste verschil tussen de originele Pierogi-achterdeur en de nieuwere variant is dat de eerste de programmeertalen Delphi en Pascal gebruikt, terwijl de laatste C ++ gebruikt.
Oudere varianten van deze achterdeur gebruikten ook Oekraïense achterdeurcommando's 'vydalyty', 'Zavantazhyty' en 'Ekspertyza'. Pierogi++ gebruikt de Engelse strings 'download' en 'screen'.
Het gebruik van Oekraïens in de vorige versies van Pierogi heeft misschien gesuggereerd dat er sprake was van externe betrokkenheid bij de creatie en distributie van de achterdeur, maar Sentinel Labs gelooft niet dat dit het geval is voor Pierogi++.
Sentinel Labs merkte op dat beide varianten ondanks enkele verschillen qua codering en functionaliteit overeenkomsten vertonen. Deze omvatten identieke vervalste documenten, verkenningstactieken en malwarereeksen. Hackers kunnen bijvoorbeeld beide achterdeurtjes gebruiken voor het maken van screenshots, het downloaden van bestanden en het uitvoeren van opdrachten.
Onderzoekers zeggen dat Pierogi++ het bewijs is dat Gaza Cybergang het “onderhoud en de innovatie” van zijn malware ondersteunt in een poging “de mogelijkheden ervan te verbeteren en detectie op basis van bekende malware-eigenschappen te omzeilen.”
Geen nieuwe activiteit sinds oktober
Terwijl Gaza Cybergang zich sinds 2012 voornamelijk richt op Palestijnse en Israëlische slachtoffers in campagnes voor het verzamelen van inlichtingen en spionage, heeft de groep haar basisactiviteiten sinds het begin van het Gaza-conflict in oktober niet vergroot. Milenkoski zegt dat de groep zich de afgelopen jaren consequent heeft gericht op “voornamelijk Israëlische en Palestijnse entiteiten en individuen”.
De bende bestaat uit verschillende ‘aangrenzende subgroepen’ die de afgelopen vijf jaar technieken, processen en malware hebben gedeeld, aldus Sentinel Labs.
“Hiertoe behoren Gaza Cybergang Groep 1 (Moleraten), Gaza Cybergang Groep 2 (Dorre Adder, Desert Falcons, APT-C-23) en Gaza Cybergang Group 3 (de groep achter Operatie Parlement)”, aldus de onderzoekers.
Hoewel Gaza Cybergang al meer dan tien jaar actief is in het Midden-Oosten, is de exacte fysieke locatie van de hackers nog steeds onbekend. Op basis van eerdere inlichtingen denkt Milenkoski echter dat ze waarschijnlijk verspreid zijn over de Arabischsprekende wereld, in plaatsen als Egypte, Palestina en Marokko.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- : heeft
- :is
- :waar
- $UP
- 1
- 2012
- 2022
- 2023
- a
- over
- Actie
- actieve
- activiteiten
- activiteit
- aangrenzend
- Zaken
- geleden
- streven
- ook
- an
- en
- toepassingen
- Arabisch
- Archief
- ZIJN
- AS
- At
- Aanvallen
- achterdeur
- Backdoors
- gebaseerde
- Baseline
- geweest
- achter
- geloofd wie en wat je bent
- gelooft
- tussen
- bod
- zowel
- maar
- by
- C + +
- Campagnes
- CAN
- mogelijkheden
- geval
- gevallen
- Wijzigingen
- kenmerken
- codering
- Collectie
- omvat
- conflict
- consequent
- consistent
- bevatte
- het aanmaken
- Donker
- Donkere lezing
- decennium
- Delphi
- ingezet
- beschreven
- WOESTIJN
- ontworpen
- Niettegenstaande
- Opsporing
- verschil
- verschillen
- besproken
- verspreid
- verdeeld
- distributie
- document
- documenten
- doesn
- Download
- dynamica
- oosten
- Egypte
- waardoor
- opdrachten
- Engineering
- Engels
- verhogen
- entiteiten
- spionage
- gevestigd
- Ether (ETH)
- ontwijken
- uitvoeren
- Verklaart
- extern
- weinig
- Dien in
- Bestanden
- vijf
- Voor
- Voormalig
- oppompen van
- functionaliteit
- Bende
- Overheid
- Groep
- Hackers
- hacking
- Hebben
- Echter
- HTTPS
- identiek
- in
- omvatten
- inclusief
- meer
- individuen
- Innovatie
- instantie
- Intelligentie
- in
- betrokkenheid
- Iran
- Israëlisch
- IT
- HAAR
- zelf
- jpg
- bekend
- Labs
- taal
- Talen
- lancering
- als
- Waarschijnlijk
- plaats
- Macro
- macro's
- Hoofd
- onderhoud
- malware
- Mei..
- Midden
- Midden-Oosten
- ministerie
- meer
- Marokko
- meervoudig
- bijna
- New
- nieuwere
- geen
- bekend
- opgemerkt
- oktober
- of
- Kantoor
- vaak
- on
- opening
- origineel
- over
- Palestina
- verleden
- Phishing
- phishing-aanvallen
- Fysiek
- plaatsen
- Plato
- Plato gegevensintelligentie
- PlatoData
- politiek
- politiek
- hoofdzakelijk
- vorig
- in de eerste plaats
- processen
- Programming
- programmeertalen
- bewijs
- lezing
- recent
- vluchtelingen
- verwant
- verslag
- onderzoeker
- onderzoekers
- Zei
- zegt
- gepland
- scherm
- senior
- SentinelEen
- nederzetting
- verscheidene
- delen
- tonen
- aanzienlijke
- overeenkomsten
- sinds
- situatie
- Social
- Social engineering
- sommige
- verspreiden
- begin
- Land
- Still
- dergelijk
- Syrië
- T
- tactiek
- doelgerichte
- targeting
- doelen
- taken
- technieken
- vertelt
- neem contact
- dat
- De
- themed
- thema's
- Deze
- ze
- dit
- bedreiging
- Door
- overal
- naar
- onderwerpen
- typisch
- Oekraïens
- onbekend
- bijgewerkt
- op
- .
- gebruikt
- Gebruiker
- toepassingen
- gebruik
- utility
- Variant
- variaties
- versie
- via
- slachtoffers
- volume
- Gevel
- oorlog
- welke
- en
- WIE
- ruiten
- Met
- wereld
- schreef
- jaar
- zephyrnet
