Skupina pro-Hamasovih napadalcev, znana kot Gaza Cybergang, uporablja novo različico zakulisne zlonamerne programske opreme Pierogi++ za napade na palestinske in izraelske cilje.
Glede na raziskave Sentinel Labs, zadnja vrata temeljijo na programskem jeziku C++ in so bila uporabljena v kampanjah med letoma 2022 in 2023. Napadalci so uporabljali tudi mikropsija zlonamerno programsko opremo v nedavnih hekerskih akcijah po Bližnjem vzhodu.
»Nedavne dejavnosti Cyberganga v Gazi kažejo dosledno ciljanje palestinskih entitet, brez opaznih bistvenih sprememb v dinamiki od začetka vojne med Izraelom in Hamasom,« je v poročilu zapisal višji raziskovalec groženj Sentinel Labs Aleksandar Milenkoski.
Distribucija zlonamerne programske opreme
Hekerji so distribuirali zlonamerno programsko opremo Pierogi++ z uporabo arhivskih datotek in zlonamernih Officeovih dokumentov, ki so obravnavali palestinske teme v angleščini in arabščini. Ti so vsebovali artefakte sistema Windows, kot so načrtovana opravila in pripomočki, ki so vključevali makre z zlonamerno programsko opremo, namenjene širjenju stranskih vrat Pierogi++.
Milenkoski je za Dark Reading povedal, da je skupina Gaza Cybergang uporabila napade z lažnim predstavljanjem in sodelovanje na družbenih omrežjih za razširjanje zlonamernih datotek.
»Pierogi++, ki se distribuira prek zlonamernega Officeovega dokumenta, uvede Officeov makro, ko uporabnik odpre dokument,« pojasnjuje Milenkoski. "V primerih, ko se stranska vrata razširjajo prek arhivske datoteke, se običajno zakamuflirajo kot dokument s politično tematiko o palestinskih zadevah in zavedejo uporabnika, da ga izvede z dejanjem dvojnega klika."
Številni dokumenti so uporabljali politične teme za zvabljanje žrtev in izvajanje zakulisnih vrat Pierogi++, kot na primer: »Položaj palestinskih beguncev v Siriji, begunci v Siriji« in »Državno ministrstvo za zadeve zidov in naselbin, ki ga je ustanovila palestinska vlada«.
Originalni pierogi
Ta nova vrsta zlonamerne programske opreme je posodobljena različica zakulisnih vrat Pierogi, ki so jo raziskovalci pri Cybereasonu identificirati pred skoraj petimi leti.
Ti raziskovalci so backdoor opisali kot omogočanje "napadalcem, da vohunijo za ciljnimi žrtvami" z uporabo socialnega inženiringa in ponarejenih dokumentov, ki pogosto temeljijo na političnih temah, povezanih s palestinsko vlado, Egiptom, Hezbolahom in Iranom.
Glavna razlika med prvotnim Pierogi backdoorjem in novejšo različico je v tem, da prva uporablja programska jezika Delphi in Pascal, medtem ko druga uporablja C++.
Starejše različice tega backdoorja so uporabljale tudi ukrajinske backdoor ukaze 'vydalyty', 'Zavantazhyty' in 'Ekspertyza'. Pierogi++ uporablja angleška niza 'download' in 'screen'.
Uporaba ukrajinščine v prejšnjih različicah Pierogi je morda nakazovala zunanjo vpletenost v ustvarjanje in distribucijo backdoorja, vendar Sentinel Labs ne verjame, da to velja za Pierogi++.
Sentinel Labs je opazil, da imata obe različici kljub nekaterim razlikam podobno kodiranje in funkcionalnost. Ti vključujejo enake ponarejene dokumente, izvidniške taktike in nize zlonamerne programske opreme. Hekerji lahko na primer uporabijo oba zadnja vrata za snemanje zaslona, prenos datotek in izvajanje ukazov.
Raziskovalci so dejali, da je Pierogi++ dokaz, da Gaza Cybergang podpira "vzdrževanje in inovacije" svoje zlonamerne programske opreme, da bi "izboljšala svoje zmogljivosti in se izognila odkrivanju na podlagi znanih značilnosti zlonamerne programske opreme."
Od oktobra ni novih dejavnosti
Medtem ko se Gaza Cybergang že od leta 2012 osredotoča na palestinske in izraelske žrtve v kampanjah pretežno »zbiranja obveščevalnih podatkov in vohunjenja«, skupina ni povečala osnovnega obsega dejavnosti od začetka spopada v Gazi oktobra. Milenkoski pravi, da skupina v zadnjih nekaj letih dosledno cilja »predvsem na izraelske in palestinske subjekte in posameznike«.
Tolpa je sestavljena iz več "sosednjih podskupin", ki si zadnjih pet let delijo tehnike, postopke in zlonamerno programsko opremo, ugotavlja Sentinel Labs.
"To vključuje Gaza Cybergang Group 1 (Molerats), Gaza Cybergang Group 2 (Suhi gad, Desert Falcons, APT-C-23) in Gaza Cybergang Group 3 (skupina za Operacija Parlament)," so povedali raziskovalci.
Čeprav je Gaza Cybergang na Bližnjem vzhodu dejaven že več kot desetletje, natančna fizična lokacija njegovih hekerjev še vedno ni znana. Vendar Milenkoski na podlagi prejšnjih obveščevalnih podatkov verjame, da so verjetno razpršeni po arabsko govorečem svetu v krajih, kot so Egipt, Palestina in Maroko.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- :ima
- : je
- :kje
- $GOR
- 1
- 2012
- 2022
- 2023
- a
- čez
- Ukrep
- aktivna
- dejavnosti
- dejavnost
- sosednji
- zadeve
- Avgust
- Cilj
- Prav tako
- an
- in
- aplikacije
- arabski
- Arhiv
- SE
- AS
- At
- Napadi
- Zakulisni
- Skrite
- temeljijo
- Izhodišče
- bilo
- zadaj
- Verjemite
- meni
- med
- Ponudba
- tako
- vendar
- by
- C + +
- Kampanje
- CAN
- Zmogljivosti
- primeru
- primeri
- Spremembe
- lastnosti
- Kodiranje
- zbirka
- obsega
- konflikt
- dosledno
- dosledno
- vseboval
- Oblikovanje
- Temnomodra
- Temno branje
- desetletje
- Delphi
- razporejeni
- opisano
- PUŠČAVA
- zasnovan
- Kljub
- Odkrivanje
- Razlika
- razlike
- razpravljali
- razpršen
- porazdeljena
- distribucija
- dokument
- Dokumenti
- ne
- prenesi
- dinamika
- East
- Egipt
- omogočanje
- posli
- Inženiring
- Angleščina
- okrepi
- subjekti
- vohunjenja
- ustanovljena
- Eter (ETH)
- izmikati
- izvršitve
- Pojasni
- zunanja
- Nekaj
- file
- datoteke
- pet
- za
- Nekdanji
- iz
- funkcionalnost
- Gang
- vlada
- skupina
- hekerji
- taksist
- Imajo
- Vendar
- HTTPS
- enako
- in
- vključujejo
- vključeno
- povečal
- posamezniki
- Inovacije
- primer
- Intelligence
- v
- sodelovanje
- Iran
- Izraelci
- IT
- ITS
- sam
- jpg
- znano
- Labs
- jezik
- jeziki
- kosilo
- kot
- Verjeten
- kraj aktivnosti
- Makro
- makri
- Glavne
- vzdrževanje
- zlonamerna programska oprema
- Maj ..
- Bližnji
- srednji vzhod
- ministrstva
- več
- Maroko
- več
- skoraj
- Novo
- novejši
- št
- opozoriti
- opazovana
- oktober
- of
- Office
- pogosto
- on
- o odprtju
- izvirno
- več
- Palestina
- preteklosti
- Ribarjenje
- lažni napadi
- fizično
- Mesta
- platon
- Platonova podatkovna inteligenca
- PlatoData
- političnih
- politično
- pretežno
- prejšnja
- v prvi vrsti
- Procesi
- Programiranje
- programskih jezikov
- dokazilo
- reading
- nedavno
- begunci
- povezane
- poročilo
- raziskovalec
- raziskovalci
- Je dejal
- pravi
- načrtovano
- Zaslon
- višji
- SentinelOne
- naselje
- več
- delitev
- Prikaži
- pomemben
- podobnosti
- saj
- Razmere
- socialna
- Socialni inženiring
- nekaj
- namaz
- Začetek
- Država
- Še vedno
- taka
- Sirija
- T
- taktike
- ciljno
- ciljanje
- Cilji
- Naloge
- tehnike
- pove
- kot
- da
- O
- Tematsko
- teme
- te
- jih
- ta
- Grožnja
- skozi
- vsej
- do
- Teme
- tipično
- Ukrajinski
- neznan
- posodobljeno
- naprej
- uporaba
- Rabljeni
- uporabnik
- uporablja
- uporabo
- pripomoček
- Variant
- variacije
- različica
- preko
- žrtve
- Obseg
- Wall
- vojna
- ki
- medtem
- WHO
- okna
- z
- svet
- Napisal
- let
- zefirnet
