En gruppe pro-Hamas-angripere kjent som Gaza Cybergang bruker en ny variant av Pierogi++ bakdørs malware for å starte angrep på palestinske og israelske mål.
Ifølge forskning fra Sentinel Labs, er bakdøren basert på programmeringsspråket C++ og har blitt brukt i kampanjer mellom 2022 og 2023. Angriperne har også brukt Mikropsi skadelig programvare i nylige hackingkampanjer over hele Midtøsten.
"Nylige Gaza Cybergang-aktiviteter viser konsekvent målretting av palestinske enheter, uten observerte signifikante endringer i dynamikk siden starten av Israel-Hamas-krigen," skrev Sentinel Labs senior trusselforsker Aleksandar Milenkoski i rapporten.
Distribuere skadelig programvare
Hackerne distribuerte Pierogi++ malware ved å bruke arkivfiler og ondsinnede Office-dokumenter som diskuterte palestinske emner på både engelsk og arabisk. Disse inneholdt Windows-artefakter som planlagte oppgaver og verktøyapplikasjoner, som inkluderte malware-riddende makroer designet for å spre Pierogi++-bakdøren.
Milenkoski forteller til Dark Reading at Gaza Cybergang brukte phishing-angrep og sosiale medier-baserte engasjementer for å sirkulere de ondsinnede filene.
"Pierogi++ distribueres gjennom et ondsinnet Office-dokument, og distribueres av en Office-makro når brukeren åpner dokumentet," forklarer Milenkoski. "I tilfeller der bakdøren spres via en arkivfil, kamuflerer den seg vanligvis som et dokument med politisk tema om palestinske anliggender, og lurer brukeren til å utføre den gjennom en dobbeltklikkhandling."
Mange av dokumentene brukte politiske temaer for å lokke sine ofre og henrette Pierogi++-bakdøren, for eksempel: «Situasjonen til palestinske flyktninger i Syria, flyktninger i Syria» og «Statsdepartementet for mur- og bosettingssaker etablert av den palestinske regjeringen».
Den originale Pierogi
Denne nye malware-stammen er en oppdatert versjon av Pierogi-bakdøren, som forskere ved Cybereason identifisert for nesten fem år siden.
Disse forskerne beskrev bakdøren som å gjøre det mulig for "angripere å spionere på målrettede ofre" ved å bruke sosial teknikk og forfalskede dokumenter, ofte basert på politiske temaer knyttet til den palestinske regjeringen, Egypt, Hizbollah og Iran.
Hovedforskjellen mellom den originale Pierogi-bakdøren og den nyere varianten er at førstnevnte bruker programmeringsspråkene Delphi og Pascal, mens sistnevnte bruker C++.
Eldre varianter av denne bakdøren brukte også ukrainske bakdørskommandoer 'vydalyty', 'Zavantazhyty' og 'Ekspertyza'. Pierogi++ bruker de engelske strengene 'download' og 'screen'.
Bruken av ukrainsk i de tidligere versjonene av Pierogi kan ha antydet ekstern involvering i opprettelsen og distribusjonen av bakdøren, men Sentinel Labs tror ikke at dette er tilfellet for Pierogi++.
Sentinel Labs observerte at begge variantene har koding og funksjonalitet til tross for noen forskjeller. Disse inkluderer identiske forfalskede dokumenter, rekognoseringstaktikker og skadevarestrenger. For eksempel kan hackere bruke begge bakdørene for å ta skjermbilder, laste ned filer og utføre kommandoer.
Forskere sa at Pierogi++ er et bevis på at Gaza Cybergang støtter opp om "vedlikehold og innovasjon" av skadevare i et forsøk på å "forbedre evnene og unngå oppdagelse basert på kjente skadevareegenskaper."
Ingen ny aktivitet siden oktober
Mens Gaza Cybergang har vært rettet mot palestinske og israelske ofre i overveiende «etterretningsinnsamling og spionasje»-kampanjer siden 2012, har gruppen ikke økt sitt grunnleggende aktivitetsvolum siden starten av Gaza-konflikten i oktober. Milenkoski sier at gruppen konsekvent har vært rettet mot «først og fremst israelske og palestinske enheter og enkeltpersoner» de siste årene.
Gjengen består av flere "tilstøtende undergrupper" som har delt teknikker, prosesser og skadelig programvare de siste fem årene, bemerket Sentinel Labs.
"Disse inkluderer Gaza Cybergang Group 1 (Molerater), Gaza Cybergang Group 2 (Arid Viper, Desert Falcons, APT-C-23), og Gaza Cybergang Group 3 (gruppen bak Operasjon parlamentet)», sa forskerne.
Selv om Gaza Cybergang har vært aktiv i Midtøsten i mer enn et tiår, er den nøyaktige fysiske plasseringen av hackerne fortsatt ukjent. Imidlertid, basert på tidligere etterretninger, mener Milenkoski at de sannsynligvis er spredt over hele den arabisktalende verden på steder som Egypt, Palestina og Marokko.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- : har
- :er
- :hvor
- $OPP
- 1
- 2012
- 2022
- 2023
- a
- tvers
- Handling
- aktiv
- Aktiviteter
- aktivitet
- ved siden av
- Affairs
- siden
- sikte
- også
- an
- og
- søknader
- arabic
- Arkiv
- ER
- AS
- At
- Angrep
- backdoor
- Bakdører
- basert
- Baseline
- vært
- bak
- tro
- mener
- mellom
- bud
- både
- men
- by
- C + +
- Kampanjer
- CAN
- evner
- saken
- saker
- Endringer
- egenskaper
- Koding
- samling
- består
- konflikt
- konsistent
- konsekvent
- inneholdt
- skaperverket
- mørk
- Mørk lesning
- tiår
- Delphi
- utplassert
- beskrevet
- ØRKEN
- designet
- Til tross for
- Gjenkjenning
- forskjell
- forskjeller
- diskutert
- fordelt
- distribueres
- distribusjon
- dokument
- dokumenter
- doesn
- nedlasting
- dynamikk
- øst
- Egypt
- muliggjør
- engasjementer
- Ingeniørarbeid
- Engelsk
- forbedre
- enheter
- spionasje
- etablert
- Eter (ETH)
- unngå
- utførende
- forklarer
- utvendig
- Noen få
- filet
- Filer
- fem
- Til
- Tidligere
- fra
- funksjonalitet
- Gjeng
- Regjeringen
- Gruppe
- hackere
- hacking
- Ha
- Men
- HTTPS
- identiske
- in
- inkludere
- inkludert
- økt
- individer
- Innovasjon
- f.eks
- Intelligens
- inn
- engasjement
- Iran
- israelsk
- IT
- DET ER
- selv
- jpg
- kjent
- Labs
- Språk
- språk
- lansere
- i likhet med
- Sannsynlig
- plassering
- Makro
- makroer
- Hoved
- vedlikehold
- malware
- Kan..
- Middle
- Midtøsten
- departement
- mer
- marokko
- flere
- nesten
- Ny
- nyere
- Nei.
- bemerket
- observerte
- oktober
- of
- Office
- ofte
- on
- åpning
- original
- enn
- Palestina
- Past
- phishing
- phishing-angrep
- fysisk
- steder
- plato
- Platon Data Intelligence
- PlatonData
- politisk
- politisk
- hovedsakelig
- forrige
- primært
- Prosesser
- Programmering
- programmerings språk
- bevis
- Lesning
- nylig
- flyktninger
- i slekt
- rapporterer
- forsker
- forskere
- Sa
- sier
- planlagt
- Skjerm
- senior
- SentinelOne
- bosetting
- flere
- deling
- Vis
- signifikant
- likheter
- siden
- situasjon
- selskap
- Sosialteknikk
- noen
- spre
- Begynn
- Tilstand
- Still
- slik
- Syria
- T
- taktikk
- målrettet
- rettet mot
- mål
- oppgaver
- teknikker
- forteller
- enn
- Det
- De
- themed
- temaer
- Disse
- de
- denne
- trussel
- Gjennom
- hele
- til
- temaer
- typisk
- ukrainsk
- ukjent
- oppdatert
- upon
- bruke
- brukt
- Bruker
- bruker
- ved hjelp av
- verktøyet
- variant
- variasjoner
- versjon
- av
- ofre
- volum
- Wall
- krig
- hvilken
- mens
- HVEM
- vinduer
- med
- verden
- skrev
- år
- zephyrnet
