Um grupo de atacantes pró-Hamas conhecido como Gaza Cybergang está usando uma nova variação do malware backdoor Pierogi++ para lançar ataques contra alvos palestinos e israelenses.
De acordo com o pesquisa do Sentinel Labs, o backdoor é baseado na linguagem de programação C++ e foi utilizado em campanhas entre 2022 e 2023. Os invasores também têm utilizado o Micropsia malware em recentes campanhas de hackers no Oriente Médio.
“As recentes atividades de gangues cibernéticas em Gaza mostram ataques consistentes a entidades palestinas, sem mudanças significativas observadas na dinâmica desde o início da guerra Israel-Hamas”, escreveu o pesquisador sênior de ameaças do Sentinel Labs, Aleksandar Milenkoski, no relatório.
Distribuindo o malware
Os hackers distribuíram o malware Pierogi++ usando arquivos e documentos maliciosos do Office que discutiam tópicos palestinos em inglês e árabe. Eles continham artefatos do Windows, como tarefas agendadas e aplicativos utilitários, que incluíam macros repletas de malware projetadas para espalhar o backdoor Pierogi++.
Milenkoski disse à Dark Reading que a gangue cibernética de Gaza usou ataques de phishing e engajamentos baseados em mídias sociais para circular os arquivos maliciosos.
“Distribuído por meio de um documento malicioso do Office, o Pierogi++ é implantado por uma macro do Office quando o usuário abre o documento”, explica Milenkoski. “Nos casos em que o backdoor é disseminado através de um arquivo, ele normalmente se camufla como um documento com tema político sobre assuntos palestinos, enganando o usuário para que o execute por meio de um clique duplo.”
Muitos dos documentos usaram temas políticos para atrair as suas vítimas e executar a porta dos fundos Pierogi++, tais como: “A situação dos refugiados palestinianos na Síria refugiados na Síria” e “O Ministério de Estado para Assuntos de Muros e Assentamento estabelecido pelo governo palestiniano”.
O Pierogi Original
Esta nova cepa de malware é uma versão atualizada do backdoor Pierogi, que pesquisadores da Cybereason identificado há quase cinco anos.
Esses investigadores descreveram a porta dos fundos como permitindo “que os atacantes espionem as vítimas visadas” utilizando engenharia social e documentos falsificados, muitas vezes baseados em tópicos políticos relacionados com o governo palestiniano, o Egipto, o Hezbollah e o Irão.
A principal diferença entre o backdoor Pierogi original e a variante mais recente é que o primeiro usa as linguagens de programação Delphi e Pascal, enquanto o último usa C++.
Variações mais antigas deste backdoor também usavam comandos de backdoor ucranianos 'vydalyty', 'Zavantazhyty' e 'Ekspertyza'. Pierogi++ usa as strings em inglês 'download' e 'screen'.
O uso do ucraniano nas versões anteriores do Pierogi pode ter sugerido envolvimento externo na criação e distribuição do backdoor, mas o Sentinel Labs não acredita que este seja o caso do Pierogi++.
O Sentinel Labs observou que ambas as variantes têm semelhanças de codificação e funcionalidade, apesar de algumas diferenças. Isso inclui documentos falsificados idênticos, táticas de reconhecimento e sequências de malware. Por exemplo, os hackers podem usar backdoors para capturar imagens, baixar arquivos e executar comandos.
Os pesquisadores disseram que Pierogi++ é a prova de que a Gaza Cybergang está reforçando a “manutenção e inovação” de seu malware em uma tentativa de “melhorar suas capacidades e evitar a detecção com base em características conhecidas de malware”.
Nenhuma nova atividade desde outubro
Embora o Gaza Cybergang tenha como alvo vítimas palestinianas e israelitas em campanhas predominantemente de “recolha de informações e espionagem” desde 2012, o grupo não aumentou o seu volume de base de actividade desde o início do conflito em Gaza, em Outubro. Milenkoski diz que o grupo tem visado consistentemente “principalmente entidades e indivíduos israelenses e palestinos” nos últimos anos.
A gangue compreende vários “subgrupos adjacentes” que compartilham técnicas, processos e malware nos últimos cinco anos, observou o Sentinel Labs.
“Isso inclui Gaza Cybergang Grupo 1 (moleratas), Grupo 2 de gangues cibernéticas de Gaza (Víbora Árida, Desert Falcons, APT-C-23) e Gaza Cybergang Group 3 (o grupo por trás Operação Parlamento)”, disseram os pesquisadores.
Embora o Gaza Cybergang esteja ativo no Médio Oriente há mais de uma década, a localização física exata dos seus hackers ainda é desconhecida. No entanto, com base em informações anteriores, Milenkoski acredita que provavelmente estão dispersos por todo o mundo de língua árabe, em lugares como o Egipto, a Palestina e Marrocos.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :tem
- :é
- :onde
- $UP
- 1
- 2012
- 2022
- 2023
- a
- em
- Açao Social
- ativo
- atividades
- atividade
- adjacente
- Negócios
- atrás
- visar
- tb
- an
- e
- aplicações
- árabe
- arquivo
- SOMOS
- AS
- At
- Ataques
- Porta dos fundos
- Backdoors
- baseado
- Linha de Base
- sido
- atrás
- Acreditar
- acredita
- entre
- oferta
- ambos
- mas a
- by
- C + +
- Campanhas
- CAN
- capacidades
- casas
- casos
- Alterações
- características
- Codificação
- coleção
- compreende
- conflito
- consistente
- consistentemente
- contida
- criação
- Escuro
- Leitura escura
- década
- Delphi
- implantado
- descrito
- DESERTO
- projetado
- Apesar de
- Detecção
- diferença
- diferenças
- discutido
- disperso
- distribuído
- distribuição
- documento
- INSTITUCIONAIS
- não
- download
- dinâmica
- Leste
- Egito
- permitindo
- compromissos
- Engenharia
- Inglês
- aumentar
- entidades
- espionagem
- estabelecido
- Éter (ETH)
- escapar
- executando
- Explica
- externo
- poucos
- Envie o
- Arquivos
- cinco
- Escolha
- Antigo
- da
- funcionalidade
- Gangue
- Governo
- Grupo
- hackers
- hacker
- Ter
- Contudo
- HTTPS
- idêntico
- in
- incluir
- incluído
- aumentou
- indivíduos
- Inovação
- instância
- Inteligência
- para dentro
- envolvimento
- Irão
- israelense
- IT
- ESTÁ
- se
- jpg
- conhecido
- Laboratório
- língua
- Idiomas
- lançamento
- como
- Provável
- localização
- Macro
- macros
- a Principal
- manutenção
- malwares
- Posso..
- Coração
- Médio Oriente
- ministério
- mais
- Marrocos
- múltiplo
- quase
- Novo
- mais novo
- não
- notado
- observado
- Outubro
- of
- Office
- frequentemente
- on
- abertura
- original
- Acima de
- Palestina
- passado
- Phishing
- ataques de phishing
- físico
- Locais
- platão
- Inteligência de Dados Platão
- PlatãoData
- político
- politicamente
- predominantemente
- anterior
- principalmente
- processos
- Programação
- linguagens de programação
- prova
- Leitura
- recentemente
- refugiados
- relacionado
- Denunciar
- investigador
- pesquisadores
- Dito
- diz
- programado
- Peneira
- senior
- Sentinela Um
- assentamento
- vários
- compartilhando
- mostrar
- periodo
- semelhanças
- desde
- situação
- Redes Sociais
- Engenharia social
- alguns
- propagação
- começo
- Estado
- Ainda
- tal
- Síria
- T
- tática
- visadas
- alvejando
- tem como alvo
- tarefas
- técnicas
- conta
- do que
- que
- A
- Temático
- temas
- Este
- deles
- isto
- ameaça
- Através da
- todo
- para
- Temas
- tipicamente
- Ucraniano
- desconhecido
- Atualizada
- sobre
- usar
- usava
- Utilizador
- usos
- utilização
- utilidade
- Variante
- variações
- versão
- via
- vítimas
- volume
- parede
- guerra
- qual
- enquanto
- QUEM
- Windows
- de
- mundo
- escreveu
- anos
- zefirnet