En grupp pro-Hamas angripare känd som Gaza Cybergang använder en ny variant av Pierogi++ bakdörr skadlig kod för att starta attacker mot palestinska och israeliska mål.
Enligt forskning från Sentinel Labs, är bakdörren baserad på programmeringsspråket C++ och har använts i kampanjer mellan 2022 och 2023. Angriparna har också använt Mikropsi skadlig programvara i de senaste hackkampanjerna i Mellanöstern.
"Senaste Gaza Cybergang-aktiviteter visar konsekvent inriktning på palestinska enheter, utan några observerade signifikanta förändringar i dynamiken sedan starten av Israel-Hamas-kriget", skrev Sentinel Labs senior hotforskare Aleksandar Milenkoski i rapporten.
Distribuera skadlig programvara
Hackarna distribuerade skadlig programvara Pierogi++ med hjälp av arkivfiler och skadliga Office-dokument som diskuterade palestinska ämnen på både engelska och arabiska. Dessa innehöll Windows-artefakter som schemalagda uppgifter och verktygsapplikationer, som inkluderade makron som ägnats skadlig programvara som utformats för att sprida Pierogi++-bakdörren.
Milenkoski säger till Dark Reading att Gaza Cybergang använde nätfiskeattacker och sociala medier-baserade engagemang för att cirkulera de skadliga filerna.
"Pierogi++ distribueras genom ett skadligt Office-dokument och distribueras av ett Office-makro när användaren öppnar dokumentet", förklarar Milenkoski. "I fall där bakdörren sprids via en arkivfil, kamouflerar den sig vanligtvis som ett dokument med politiskt teman om palestinska angelägenheter, vilket lurar användaren att utföra det genom en dubbelklicksåtgärd."
Många av dokumenten använde politiska teman för att locka sina offer och avrätta Pierogi++-bakdörren, till exempel: "Situationen för palestinska flyktingar i Syrien flyktingar i Syrien" och "Statsministeriet för mur- och bosättningsfrågor inrättat av den palestinska regeringen."
Den ursprungliga Pierogi
Denna nya skadliga stam är en uppdaterad version av Pierogi-bakdörren, som forskare vid Cybereason identifierade för nästan fem år sedan.
Dessa forskare beskrev bakdörren som att "angripare kan spionera på riktade offer" med hjälp av social ingenjörskonst och falska dokument, ofta baserade på politiska ämnen relaterade till den palestinska regeringen, Egypten, Hizbollah och Iran.
Den största skillnaden mellan den ursprungliga Pierogi-bakdörren och den nyare varianten är att den förra använder programmeringsspråken Delphi och Pascal, medan den senare använder C++.
Äldre varianter av denna bakdörr använde också ukrainska bakdörrskommandon "vydalyty", "Zavantazhyty" och "Ekspertyza". Pierogi++ använder de engelska strängarna 'download' och 'screen'.
Användningen av ukrainska i de tidigare versionerna av Pierogi kan ha föreslagit extern inblandning i skapandet och distributionen av bakdörren, men Sentinel Labs tror inte att detta är fallet för Pierogi++.
Sentinel Labs observerade att båda varianterna har kodnings- och funktionalitetslikheter trots vissa skillnader. Dessa inkluderar identiska förfalskade dokument, spaningstaktik och skadliga programsträngar. Till exempel kan hackare använda båda bakdörrarna för att ta skärmdumpar, ladda ner filer och utföra kommandon.
Forskare sa att Pierogi++ är ett bevis på att Gaza Cybergang stödjer "underhåll och innovation" av sin skadliga programvara i ett försök att "förbättra dess kapacitet och undvika upptäckt baserat på kända skadliga egenskaper."
Ingen ny aktivitet sedan oktober
Medan Gaza Cybergang har riktat sig mot palestinska och israeliska offer i huvudsakligen "underrättelseinsamling och spionage"-kampanjer sedan 2012, har gruppen inte ökat sin baslinjevolym av aktivitet sedan Gazakonflikten började i oktober. Milenkoski säger att gruppen konsekvent har riktat sig mot "främst israeliska och palestinska enheter och individer" under de senaste åren.
Gänget består av flera "intilliggande undergrupper" som har delat tekniker, processer och skadlig kod under de senaste fem åren, noterade Sentinel Labs.
"Dessa inkluderar Gaza Cybergang Group 1 (Molerat), Gaza Cybergang Group 2 (Torr huggorm, Desert Falcons, APT-C-23), och Gaza Cybergang Group 3 (gruppen bakom Operation parlamentet)", sa forskarna.
Även om Gaza Cybergang har varit aktiv i Mellanöstern i mer än ett decennium, är den exakta fysiska platsen för dess hackare fortfarande okänd. Men baserat på tidigare underrättelser, tror Milenkoski att de sannolikt är utspridda i den arabisktalande världen på platser som Egypten, Palestina och Marocko.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- : har
- :är
- :var
- $UPP
- 1
- 2012
- 2022
- 2023
- a
- tvärs
- Handling
- aktiv
- aktiviteter
- aktivitet
- intill
- Affairs
- sedan
- Syftet
- också
- an
- och
- tillämpningar
- arabiska
- arkiv
- ÄR
- AS
- At
- Attacker
- bakdörr
- Bakdörrar
- baserat
- Baslinje
- varit
- bakom
- tro
- tror
- mellan
- bud
- båda
- men
- by
- C + +
- Kampanjer
- KAN
- kapacitet
- Vid
- fall
- Förändringar
- egenskaper
- Kodning
- samling
- innefattar
- konflikt
- konsekvent
- konsekvent
- innehöll
- skapande
- mörkt
- Mörk läsning
- årtionde
- Delphi
- utplacerade
- beskriven
- ÖKEN
- utformade
- Trots
- Detektering
- Skillnaden
- skillnader
- diskuteras
- dispergerad
- distribueras
- fördelning
- dokumentera
- dokument
- doesn
- ladda ner
- Dynamiken
- öster
- Egypten
- möjliggör
- uppdrag
- Teknik
- Engelska
- förbättra
- enheter
- spionage
- etablerade
- Eter (ETH)
- undgå
- exekvera
- Förklarar
- extern
- få
- Fil
- Filer
- fem
- För
- Tidigare
- från
- funktionalitet
- Gäng
- Regeringen
- Grupp
- hackare
- hacking
- Har
- Men
- HTTPS
- identiska
- in
- innefattar
- ingår
- ökat
- individer
- Innovation
- exempel
- Intelligens
- in
- inblandning
- Iran
- israelisk
- IT
- DESS
- sig
- jpg
- känd
- Labs
- språk
- Språk
- lansera
- tycka om
- sannolikt
- läge
- Makro
- makron
- Huvudsida
- underhåll
- malware
- Maj..
- Mitten
- Mellanöstern
- departement
- mer
- marocko
- multipel
- nästan
- Nya
- nyare
- Nej
- noterade
- observerad
- oktober
- of
- Office
- Ofta
- on
- öppning
- ursprungliga
- över
- palestina
- Tidigare
- Nätfiske
- phishingattacker
- fysisk
- platser
- plato
- Platon Data Intelligence
- PlatonData
- politiska
- politiskt
- övervägande
- föregående
- primärt
- processer
- Programmering
- programmeringsspråk
- bevis
- Läsning
- senaste
- flyktingar
- relaterad
- rapport
- forskaren
- forskare
- Nämnda
- säger
- planerad
- screen
- senior
- SentinelOne
- lösning
- flera
- delning
- show
- signifikant
- Likheterna
- eftersom
- Situationen
- Social hållbarhet
- Samhällsteknik
- några
- spridning
- starta
- Ange
- Fortfarande
- sådana
- syrien
- T
- taktik
- riktade
- targeting
- mål
- uppgifter
- tekniker
- berättar
- än
- den där
- Smakämnen
- tema
- teman
- Dessa
- de
- detta
- hot
- Genom
- hela
- till
- ämnen
- typiskt
- ukrainska
- okänd
- uppdaterad
- på
- användning
- Begagnade
- Användare
- användningar
- med hjälp av
- verktyg
- Variant
- variationer
- version
- via
- offer
- volym
- Vägg
- kriget
- som
- medan
- VEM
- fönster
- med
- världen
- skrev
- år
- zephyrnet
