Группа злоумышленников, поддерживающих ХАМАС, известная как Кибербанда Газы, использует новую версию бэкдора Pierogi++ для атак на палестинские и израильские цели.
По исследования Sentinel Labs, бэкдор основан на языке программирования C++ и использовался в кампаниях с 2022 по 2023 год. Злоумышленники также использовали Микропсия вредоносное ПО в недавних хакерских кампаниях на Ближнем Востоке.
«Недавние действия кибербанды Газы демонстрируют постоянные нападения на палестинские объекты, без каких-либо существенных изменений в динамике с начала войны между Израилем и ХАМАСом», — написал в отчете старший исследователь угроз Sentinel Labs Александр Миленкоски.
Распространение вредоносного ПО
Хакеры распространяли вредоносное ПО Pierogi++, используя архивные файлы и вредоносные документы Office, в которых обсуждались палестинские темы на английском и арабском языках. Они содержали артефакты Windows, такие как запланированные задачи и служебные приложения, в том числе зараженные вредоносным ПО макросы, предназначенные для распространения бэкдора Pierogi++.
Миленкоски рассказал Dark Reading, что кибербанда Газы использовала фишинговые атаки и взаимодействие в социальных сетях для распространения вредоносных файлов.
«Распространяемый через вредоносный документ Office, Pierogi++ развертывается макросом Office при открытии документа пользователем», — объясняет Миленкоски. «В тех случаях, когда бэкдор распространяется через архивный файл, он обычно маскируется под документ политической тематики по палестинским делам, обманывая пользователя, заставляя его выполнить его двойным щелчком мыши».
Во многих документах использовались политические темы для заманивания жертв и реализации бэкдора Pierogi++, например: «Положение палестинских беженцев в Сирии, беженцев в Сирии» и «Государственное министерство по делам стен и поселений, созданное палестинским правительством».
Оригинальные вареники
Этот новый штамм вредоносного ПО представляет собой обновленную версию бэкдора Pierogi, который исследователи из Cybereason идентифицированный почти пять лет назад.
Эти исследователи описали бэкдор как возможность «злоумышленникам шпионить за целевыми жертвами» с использованием социальной инженерии и поддельных документов, часто основанных на политических темах, связанных с палестинским правительством, Египтом, «Хезболлой» и Ираном.
Основное различие между оригинальным бэкдором Pierogi и новым вариантом заключается в том, что первый использует языки программирования Delphi и Pascal, а второй — C++.
В более старых версиях этого бэкдора также использовались украинские бэкдорные команды «выдалиты», «Завантажиты» и «Экспертиза». Pierogi++ использует английские строки «загрузка» и «экран».
Использование украинского языка в предыдущих версиях Pierogi могло указывать на внешнее участие в создании и распространении бэкдора, но Sentinel Labs не считает, что это относится к Pierogi++.
Sentinel Labs отметила, что оба варианта имеют сходство в кодировании и функциональности, несмотря на некоторые различия. К ним относятся идентичные поддельные документы, тактика разведки и строки вредоносного ПО. Например, хакеры могут использовать оба бэкдора для создания снимков экрана, загрузки файлов и выполнения команд.
Исследователи заявили, что Pierogi++ является доказательством того, что Кибербанда Газы усиливает «обслуживание и инновации» своего вредоносного ПО, стремясь «расширить его возможности и избежать обнаружения на основе известных характеристик вредоносного ПО».
Никакой новой активности с октября
Хотя Кибербанда Газы с 2012 года преследует палестинских и израильских жертв в основном в кампаниях по «сбору разведданных и шпионажу», группировка не увеличивала базовый объем своей деятельности с начала конфликта в Газе в октябре. Миленкоски говорит, что в течение последних нескольких лет группа последовательно преследовала «в первую очередь израильские и палестинские организации и частных лиц».
В состав банды входят несколько «смежных подгрупп», которые на протяжении последних пяти лет обменивались методами, процессами и вредоносным ПО, отметили в Sentinel Labs.
«К ним относятся Кибербанда Газы Группа 1 (Молераты), Кибербанда Газы, Группа 2 (Засушливая гадюка, «Соколы пустыни», APT-C-23) и Кибербанда Газы 3 (группа, стоящая за Операция Парламент)», — сказали исследователи.
Хотя Кибербанда Газы действует на Ближнем Востоке уже более десяти лет, точное физическое местонахождение ее хакеров до сих пор неизвестно. Однако, основываясь на предыдущих разведданных, Миленкоски полагает, что они, скорее всего, рассредоточены по всему арабоязычному миру, в таких местах, как Египет, Палестина и Марокко.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :имеет
- :является
- :куда
- $UP
- 1
- 2012
- 2022
- 2023
- a
- через
- Действие
- активный
- активно
- деятельность
- примыкающий
- Дела
- тому назад
- цель
- причислены
- an
- и
- Приложения
- арабский
- архив
- МЫ
- AS
- At
- нападки
- задняя дверь
- Черные ходы
- основанный
- Базовая линия
- было
- за
- верить
- считает,
- между
- предложение
- изоферменты печени
- но
- by
- C + +
- Кампании
- CAN
- возможности
- случаев
- случаев
- изменения
- характеристика
- Кодирование
- лыжных шлемов
- состоит из
- конфликт
- последовательный
- последовательно
- содержащегося
- создание
- темно
- Темное чтение
- десятилетие
- Delphi
- развернуть
- описано
- DESERT
- предназначенный
- Несмотря на
- обнаружение
- разница
- Различия
- обсуждается
- рассеянный
- распределенный
- распределение
- документ
- Документация
- Безразлично
- скачать
- динамика
- восток
- Египет
- позволяет
- обязательств
- Проект и
- Английский
- повышать
- лиц
- шпионаж
- установленный
- Эфир (ETH)
- Evade
- проведение
- Объясняет
- и, что лучший способ
- несколько
- Файл
- Файлы
- 5
- Что касается
- Бывший
- от
- функциональность
- шайка
- Правительство
- группы
- Хакеры
- взлом
- Есть
- Однако
- HTTPS
- идентичный
- in
- включают
- включены
- расширились
- лиц
- Инновации
- пример
- Интеллекта
- в
- участие
- включая Иран
- израильтянин
- IT
- ЕГО
- саму трезвость
- JPG
- известный
- Labs
- язык
- Языки
- запуск
- такое как
- Вероятно
- расположение
- Макрос
- Макрос
- Главная
- техническое обслуживание
- вредоносных программ
- Май..
- средняя
- Ближний Восток
- министерство
- БОЛЕЕ
- Марокко
- с разными
- почти
- Новые
- более новый
- нет
- отметил,
- наблюдается
- октябрь
- of
- Офис
- .
- on
- открытие
- оригинал
- за
- Палестина
- мимо
- фишинг
- фишинговые атаки
- физический
- Мест
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политический
- политической
- преимущественно
- предыдущий
- в первую очередь
- Процессы
- Программирование
- языки программирования
- доказательство
- Reading
- последний
- беженцев
- Связанный
- отчету
- исследователь
- исследователи
- Сказал
- говорит
- считаться
- экран
- старший
- SentinelOne
- поселок
- несколько
- разделение
- показывать
- значительный
- сходство
- с
- ситуация
- Соцсети
- Социальная инженерия
- некоторые
- распространение
- Начало
- Область
- По-прежнему
- такие
- Сирия
- T
- тактика
- целевое
- направлены
- направлена против
- задачи
- снижения вреда
- говорит
- чем
- который
- Ассоциация
- Тематическая
- темы
- Эти
- они
- этой
- угроза
- Через
- по всему
- в
- Темы
- типично
- украинский
- неизвестный
- обновление
- на
- использование
- используемый
- Информация о пользователе
- использования
- через
- утилита
- Вариант
- изменения
- версия
- с помощью
- жертвы
- объем
- стена
- войны
- который
- в то время как
- КТО
- окна
- Мир
- писал
- лет
- зефирнет
