Un grup de atacatori pro-Hamas, cunoscut sub numele de Gaza Cybergang, folosește o nouă variantă a programului malware Pierogi++ pentru a lansa atacuri asupra țintelor palestiniene și israeliene.
În conformitate cu cercetare de la Sentinel Labs, ușa din spate se bazează pe limbajul de programare C++ și a fost folosită în campanii între 2022 și 2023. Atacatorii au folosit și Micropsie malware în campaniile recente de hacking din Orientul Mijlociu.
„Activitățile recente din Gaza Cybergang arată o țintire consecventă a entităților palestiniene, fără modificări semnificative observate în dinamică de la începutul războiului Israel-Hamas”, a scris cercetătorul principal al amenințărilor Sentinel Labs, Aleksandar Milenkoski, în raport.
Distribuirea programelor malware
Hackerii au distribuit malware-ul Pierogi++ folosind fișiere de arhivă și documente Office rău intenționate care discutau subiecte palestiniene atât în engleză, cât și în arabă. Acestea conțineau artefacte Windows, cum ar fi sarcini programate și aplicații utilitare, care includeau macrocomenzi pline de malware concepute pentru a răspândi ușa din spate Pierogi++.
Milenkoski spune pentru Dark Reading că Gaza Cybergang a folosit atacuri de phishing și angajamente bazate pe rețelele sociale pentru a circula fișierele rău intenționate.
„Distribuit printr-un document Office rău intenționat, Pierogi++ este implementat de o macrocomandă Office atunci când utilizatorul deschide documentul”, explică Milenkoski. „În cazurile în care ușa din spate este diseminată printr-un fișier de arhivă, de obicei se camuflează ca un document cu tematică politică despre afacerile palestiniene, înșelând utilizatorul să o execute printr-o acțiune de dublu clic.”
Multe dintre documente au folosit teme politice pentru a-și atrage victimele și pentru a executa ușa din spate Pierogi++, cum ar fi: „Situația refugiaților palestinieni în Siria, refugiații în Siria” și „Ministerul de Stat pentru Afaceri de Zid și Așezări stabilit de guvernul palestinian”.
Pierogiul Original
Această nouă tulpină de malware este o versiune actualizată a ușii din spate Pierogi, pe care cercetătorii de la Cybereason identificat acum aproape cinci ani.
Acei cercetători au descris ușa din spate ca permițând „atacatorilor să spioneze victimele vizate” folosind inginerie socială și documente falsificate, adesea bazate pe subiecte politice legate de guvernul palestinian, Egipt, Hezbollah și Iran.
Principala diferență dintre ușa din spate Pierogi originală și varianta mai nouă este că prima folosește limbajele de programare Delphi și Pascal, în timp ce cea de-a doua folosește C++.
Variațiile mai vechi ale acestei uși din spate au folosit și comenzile ucrainene de ușă din spate „vydalyty”, „Zavantazhyty” și „Ekspertyza”. Pierogi++ folosește șirurile englezești „download” și „screen”.
Utilizarea limbii ucrainene în versiunile anterioare de Pierogi ar fi sugerat implicarea externă în crearea și distribuirea ușii din spate, dar Sentinel Labs nu crede că acesta este cazul Pierogi++.
Sentinel Labs a observat că ambele variante au asemănări de codare și funcționalitate, în ciuda unor diferențe. Acestea includ documente falsificate identice, tactici de recunoaștere și șiruri de programe malware. De exemplu, hackerii pot folosi ambele uși din spate pentru capturi de ecran, descărcarea fișierelor și executarea comenzilor.
Cercetătorii au spus că Pierogi++ este dovada că Gaza Cybergang susține „întreținerea și inovarea” malware-ului său în încercarea de a „își îmbunătăți capacitățile și a evita detectarea bazată pe caracteristicile malware cunoscute”.
Nicio activitate nouă din octombrie
În timp ce Gaza Cybergang a vizat victimele palestiniene și israeliene în campanii predominant de „colectare de informații și spionaj” din 2012, grupul nu și-a crescut volumul de bază de activitate de la începutul conflictului din Gaza în octombrie. Milenkoski spune că grupul a vizat în mod constant „în primul rând entități și persoane israeliene și palestiniene” în ultimii câțiva ani.
Banda cuprinde mai multe „subgrupuri adiacente” care au împărtășit tehnici, procese și programe malware în ultimii cinci ani, a remarcat Sentinel Labs.
„Acestea includ Gaza Cybergang Group 1 (Molerați), Gaza Cybergang Grupa 2 (Viperă aridă, Desert Falcons, APT-C-23) și Gaza Cybergang Group 3 (grupul din spatele Operațiunea Parlament),” au spus cercetătorii.
Deși Gaza Cybergang este activă în Orientul Mijlociu de mai bine de un deceniu, locația fizică exactă a hackerilor săi este încă necunoscută. Cu toate acestea, pe baza informațiilor anterioare, Milenkoski crede că acestea sunt probabil dispersate în întreaga lume vorbitoare de arabă, în locuri precum Egipt, Palestina și Maroc.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :are
- :este
- :Unde
- $UP
- 1
- 2012
- 2022
- 2023
- a
- peste
- Acțiune
- activ
- activităţi de
- activitate
- adiacent
- afaceri
- în urmă
- urmări
- de asemenea
- an
- și
- aplicatii
- limba arabă
- arhivă
- SUNT
- AS
- At
- Atacuri
- ușă din dos
- Backdoors
- bazat
- De bază
- fost
- în spatele
- Crede
- consideră că
- între
- ofertă
- atât
- dar
- by
- C ++
- Campanii
- CAN
- capacități
- caz
- cazuri
- Modificări
- Caracteristici
- Codificare
- colectare
- cuprinde
- conflict
- consistent
- consecvent
- conținute
- creaţie
- Întuneric
- Lectură întunecată
- deceniu
- Delphi
- dislocate
- descris
- DEŞERT
- proiectat
- În ciuda
- Detectare
- diferenţă
- diferenţele
- discutat
- dispersat
- distribuite
- distribuire
- document
- documente
- nu
- Descarca
- dinamică
- Est
- Egipt
- permițând
- angajamente
- Inginerie
- Engleză
- spori
- entități
- spionaj
- stabilit
- Eter (ETH)
- sustrage
- executând
- explică
- extern
- puțini
- Fișier
- Fişiere
- cinci
- Pentru
- Fost
- din
- funcționalitate
- Bandă
- Guvern
- grup
- hackeri
- hacking
- Avea
- Totuși
- HTTPS
- identic
- in
- include
- inclus
- a crescut
- persoane fizice
- Inovaţie
- instanță
- Inteligență
- în
- implicare
- Iran
- israelian
- IT
- ESTE
- în sine
- jpg
- cunoscut
- Labs
- limbă
- Limbă
- lansa
- ca
- Probabil
- locaţie
- Macro
- macro-uri
- Principal
- întreținere
- malware
- Mai..
- De mijloc
- Orientul Mijlociu
- minister
- mai mult
- Maroc
- multiplu
- aproape
- Nou
- mai nou
- Nu.
- notat
- observate
- octombrie
- of
- Birou
- de multe ori
- on
- de deschidere
- original
- peste
- Palestina
- trecut
- Phishing
- atacuri de phishing
- fizic
- Locuri
- Plato
- Informații despre date Platon
- PlatoData
- politic
- politic
- predominant
- precedent
- în primul rând
- procese
- Programare
- limbaje de programare
- dovadă
- Citind
- recent
- refugiaţi
- legate de
- raportează
- cercetător
- cercetători
- Said
- spune
- programată
- Ecran
- senior
- Santinela Unu
- așezare
- câteva
- partajarea
- Arăta
- semnificativ
- asemănări
- întrucât
- situație
- Social
- Inginerie sociala
- unele
- răspândire
- Începe
- Stat
- Încă
- astfel de
- Siria
- T
- tactică
- vizate
- direcționare
- obiective
- sarcini
- tehnici de
- spune
- decât
- acea
- tematic
- tematică
- Acestea
- ei
- acest
- amenințare
- Prin
- de-a lungul
- la
- subiecte
- tipic
- ucrainean
- necunoscut
- actualizat
- pe
- utilizare
- utilizat
- Utilizator
- utilizări
- folosind
- utilitate
- Variantă
- variații
- versiune
- de
- victime
- volum
- Perete
- război
- care
- în timp ce
- OMS
- ferestre
- cu
- lume
- scris
- ani
- zephyrnet
