Grupa popierających Hamas napastników, znana jako Gaza Cybergang, wykorzystuje nową odmianę szkodliwego oprogramowania typu backdoor Pierogi++ do przeprowadzania ataków na cele palestyńskie i izraelskie.
Zgodnie z badania Sentinel Labs, backdoor jest oparty na języku programowania C++ i był używany w kampaniach w latach 2022–2023. Napastnicy wykorzystywali także Mikropsja złośliwego oprogramowania w ostatnich kampaniach hakerskich na Bliskim Wschodzie.
„Niedawne działania Gaza Cybergang pokazują konsekwentne obieranie za cel podmiotów palestyńskich, przy czym nie zaobserwowano żadnych znaczących zmian w dynamice od rozpoczęcia wojny Izrael-Hamas” – napisał w raporcie starszy badacz zagrożeń z Sentinel Labs Aleksandar Milenkoski.
Dystrybucja złośliwego oprogramowania
Hakerzy rozpowszechniali szkodliwe oprogramowanie Pierogi++, korzystając z plików archiwalnych i złośliwych dokumentów pakietu Office omawiających tematy palestyńskie zarówno w języku angielskim, jak i arabskim. Zawierały one artefakty systemu Windows, takie jak zaplanowane zadania i aplikacje narzędziowe, w tym makra zainfekowane złośliwym oprogramowaniem, zaprojektowane w celu rozprzestrzeniania backdoora Pierogi++.
Milenkoski mówi Dark Reading, że Cybergang z Gazy wykorzystywał ataki phishingowe i działania za pośrednictwem mediów społecznościowych w celu rozpowszechniania szkodliwych plików.
„Rozpowszechniany za pośrednictwem złośliwego dokumentu pakietu Office Pierogi++ jest wdrażany przez makro pakietu Office po otwarciu dokumentu przez użytkownika” – wyjaśnia Milenkoski. „W przypadkach, gdy backdoor jest rozpowszechniany za pośrednictwem pliku archiwum, zazwyczaj maskuje się jako dokument o tematyce politycznej dotyczący spraw palestyńskich, oszukując użytkownika do wykonania go poprzez kliknięcie dwukrotnie”.
Wiele dokumentów wykorzystywało tematy polityczne w celu zwabienia ofiar i wykonania backdoora Pierogi++, takie jak: „Sytuacja uchodźców palestyńskich w Syrii uchodźców w Syrii” oraz „Ministerstwo Stanu ds. Murów i Osiedleń utworzone przez rząd palestyński”.
Oryginalne pierogi
Ten nowy szczep złośliwego oprogramowania jest zaktualizowaną wersją backdoora Pierogi, nad którym pracują badacze z Cybereason zidentyfikowane prawie pięć lat temu.
Badacze ci opisali backdoora jako umożliwiający „atakującym szpiegowanie wybranych ofiar” przy użyciu inżynierii społecznej i sfałszowanych dokumentów, często opartych na tematach politycznych związanych z rządem palestyńskim, Egiptem, Hezbollahem i Iranem.
Główna różnica pomiędzy oryginalnym backdoorem Pierogi a nowszą wersją polega na tym, że ten pierwszy wykorzystuje języki programowania Delphi i Pascal, a drugi C++.
Starsze odmiany tego backdoora również wykorzystywały ukraińskie polecenia backdoora „vydalyty”, „Zavantazhyty” i „Ekspertyza”. Pierogi++ używa angielskich ciągów „download” i „screen”.
Użycie języka ukraińskiego w poprzednich wersjach Pierogów mogło sugerować zewnętrzne zaangażowanie w tworzenie i dystrybucję backdoora, ale Sentinel Labs nie wierzy, że tak jest w przypadku Pierogi++.
Sentinel Labs zaobserwowało, że pomimo pewnych różnic oba warianty mają podobne kodowanie i funkcjonalność. Należą do nich identyczne sfałszowane dokumenty, taktyki rozpoznawcze i ciągi złośliwego oprogramowania. Na przykład hakerzy mogą używać obu backdoorów do robienia zrzutów ekranu, pobierania plików i wykonywania poleceń.
Badacze stwierdzili, że Pierogi++ jest dowodem na to, że Gaza Cybergang wspiera „konserwację i innowacje” swojego szkodliwego oprogramowania, próbując „zwiększyć jego możliwości i uniknąć wykrycia w oparciu o znane cechy złośliwego oprogramowania”.
Brak nowej aktywności od października
Chociaż od 2012 r. Gaza Cybergang atakuje ofiary palestyńskie i izraelskie w ramach kampanii głównie „zbierania danych wywiadowczych i szpiegostwa”, grupa ta nie zwiększyła swojego podstawowego zakresu działań od rozpoczęcia konfliktu w Gazie w październiku. Milenkoski twierdzi, że przez ostatnie kilka lat grupa konsekwentnie atakowała „przede wszystkim podmioty i osoby izraelskie i palestyńskie”.
Sentinel Labs zauważyło, że gang składa się z kilku „sąsiadujących ze sobą podgrup”, które od pięciu lat dzielą się technikami, procesami i złośliwym oprogramowaniem.
„Należą do nich Grupa Cybergangu Gazy 1 (Moleraty), Grupa Cybergangu Gazy 2 (Sucha Żmija, Desert Falcons, APT-C-23) i Gaza Cybergang Group 3 (grupa stojąca za Operacja Parlament)” – stwierdzili naukowcy.
Chociaż Gaza Cybergang działa na Bliskim Wschodzie od ponad dziesięciu lat, dokładna fizyczna lokalizacja jego hakerów jest nadal nieznana. Jednakże na podstawie wcześniejszych informacji Milenkoski uważa, że prawdopodobnie są rozproszeni po całym świecie arabskojęzycznym, w takich miejscach jak Egipt, Palestyna i Maroko.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :ma
- :Jest
- :Gdzie
- $W GÓRĘ
- 1
- 2012
- 2022
- 2023
- a
- w poprzek
- Działania
- aktywny
- zajęcia
- działalność
- sąsiadujący
- Sprawy
- temu
- zmierzać
- również
- an
- i
- aplikacje
- arabski
- Archiwum
- SĄ
- AS
- At
- Ataki
- tylne drzwi
- Backdoory
- na podstawie
- Baseline
- być
- za
- uwierzyć
- uważa,
- pomiędzy
- stawka
- obie
- ale
- by
- C + +
- Kampanie
- CAN
- możliwości
- walizka
- Etui
- Zmiany
- Charakterystyka
- Kodowanie
- kolekcja
- zawiera
- konflikt
- zgodny
- konsekwentnie
- zawarte
- tworzenie
- Ciemny
- Mroczne czytanie
- dekada
- Delphi
- wdrażane
- opisane
- PUSTYNIA
- zaprojektowany
- Mimo
- Wykrywanie
- różnica
- Różnice
- omówione
- rozproszone
- dystrybuowane
- 分配
- dokument
- dokumenty
- robi
- pobieranie
- dynamika
- Wschód
- Egipt
- umożliwiając
- angaże
- Inżynieria
- Angielski
- wzmacniać
- podmioty
- szpiegostwo
- ustanowiony
- Eter (ETH)
- uchylać się
- wykonywania
- Objaśnia
- zewnętrzny
- kilka
- filet
- Akta
- pięć
- W razie zamówieenia projektu
- Dawny
- od
- Funkcjonalność
- Gang
- Rząd
- Zarządzanie
- hakerzy
- włamanie
- Have
- Jednak
- HTTPS
- identiques
- in
- zawierać
- włączony
- wzrosła
- osób
- Innowacja
- przykład
- Inteligencja
- najnowszych
- Zaangażowanie
- Iran
- izraelski
- IT
- JEGO
- samo
- jpg
- znany
- Labs
- język
- Języki
- uruchomić
- lubić
- Prawdopodobnie
- lokalizacja
- Macro
- makra
- Główny
- konserwacja
- malware
- Może..
- Środkowy
- Bliski Wschód
- ministerstwo
- jeszcze
- Maroko
- wielokrotność
- prawie
- Nowości
- nowsza
- Nie
- zauważyć
- zauważony
- październik
- of
- Biurowe
- często
- on
- otwarcie
- oryginalny
- koniec
- Palestyna
- Przeszłość
- phishing
- ataki phishingowe
- fizyczny
- Miejsca
- plato
- Analiza danych Platona
- PlatoDane
- polityczny
- politycznie
- przeważnie
- poprzedni
- głównie
- procesów
- Programowanie
- języki programowania
- dowód
- Czytający
- niedawny
- uchodźców
- związane z
- raport
- badacz
- Badacze
- Powiedział
- mówią
- zaplanowane
- Ekran
- senior
- Strażnik Jeden
- osada
- kilka
- dzielenie
- pokazać
- znaczący
- podobieństwa
- ponieważ
- sytuacja
- Obserwuj Nas
- Inżynieria społeczna
- kilka
- rozpiętość
- początek
- Stan
- Nadal
- taki
- Syria
- T
- taktyka
- ukierunkowane
- kierowania
- cele
- zadania
- Techniki
- mówi
- niż
- że
- Połączenia
- Tematyczne
- motywy
- Te
- one
- to
- groźba
- Przez
- poprzez
- do
- tematy
- zazwyczaj
- ukraiński
- nieznany
- zaktualizowane
- na
- posługiwać się
- używany
- Użytkownik
- zastosowania
- za pomocą
- użyteczność
- Wariant
- wariacje
- wersja
- przez
- Ofiary
- Tom
- Ściana
- wojna
- który
- Podczas
- KIM
- okna
- w
- świat
- napisał
- lat
- zefirnet