Група прохамасівських нападників, відома як Gaza Cybergang, використовує нову варіацію шкідливого програмного забезпечення Pierogi++ для здійснення атак на палестинські та ізраїльські цілі.
За оцінками дослідження від Sentinel Labs, бекдор заснований на мові програмування C++ і використовувався в кампаніях між 2022 і 2023 роками. Зловмисники також використовували Мікропсія зловмисне програмне забезпечення в останніх хакерських кампаніях на Близькому Сході.
«Останні дії Гази Кіберганг демонструють постійне націлювання на палестинські організації, без значних змін у динаміці з початку війни Ізраїлю та ХАМАС», — написав у звіті старший дослідник загроз Sentinel Labs Александар Міленкоскі.
Розповсюдження шкідливих програм
Хакери поширювали шкідливу програму Pierogi++, використовуючи архівні файли та шкідливі документи Office, які обговорювали палестинські теми англійською та арабською мовами. Вони містили артефакти Windows, такі як заплановані завдання та службові програми, які включали макроси, створені для поширення бекдору Pierogi++.
Міленкоскі розповідає Dark Reading, що для розповсюдження шкідливих файлів група Gaza Cybergang використовувала фішингові атаки та соціальні мережі.
«Поширюваний через шкідливий документ Office, Pierogi++ розгортається за допомогою макросу Office, коли користувач відкриває документ», — пояснює Міленкоскі. «У випадках, коли бекдор поширюється через архівний файл, він зазвичай маскується під документ із політичною тематикою про справи Палестини, спонукаючи користувача виконати його за допомогою дії подвійного клацання».
У багатьох документах використовувалися політичні теми для заманювання жертв і виконання бекдору Pierogi++, наприклад: «Становище палестинських біженців у Сирії, біженці в Сирії» та «Державне міністерство у справах стін і поселень, створене урядом Палестини».
Оригінальні п'єрогі
Цей новий вид шкідливого програмного забезпечення є оновленою версією бекдору Pierogi, який дослідники Cybereason ідентифікований майже п'ять років тому.
Ці дослідники описали бекдор як можливість «зловмисникам шпигувати за цільовими жертвами» за допомогою соціальної інженерії та підроблених документів, часто заснованих на політичних темах, пов’язаних з палестинським урядом, Єгиптом, Хезболлою та Іраном.
Основна відмінність між оригінальним бекдором Pierogi та новим варіантом полягає в тому, що перший використовує мови програмування Delphi та Pascal, а другий використовує C++.
Старіші варіації цього бекдору також використовували українські бекдор-команди «видалити», «Завантажити» та «Експертиза». Pierogi++ використовує англійські рядки «завантажити» та «екран».
Використання української мови в попередніх версіях Pierogi могло вказувати на зовнішню участь у створенні та розповсюдженні бекдору, але Sentinel Labs не вірить, що це стосується Pierogi++.
Sentinel Labs помітили, що обидва варіанти мають схожість кодування та функціональності, незважаючи на деякі відмінності. До них належать ідентичні підроблені документи, тактика розвідки та рядки зловмисного програмного забезпечення. Наприклад, хакери можуть використовувати обидва бекдори для скріншотів, завантаження файлів і виконання команд.
Дослідники заявили, що Pierogi++ є доказом того, що Gaza Cybergang підтримує «обслуговування та інновації» свого шкідливого програмного забезпечення, намагаючись «розширити його можливості та уникнути виявлення на основі відомих характеристик шкідливого програмного забезпечення».
Жодної нової діяльності з жовтня
У той час як Gaza Cybergang з 2012 року займається переважно палестинськими та ізраїльськими жертвами в кампаніях «збору розвідданих і шпигунства», група не збільшила свій базовий обсяг діяльності з початку конфлікту в Газі в жовтні. Міленкоскі каже, що протягом останніх кількох років угруповання постійно націлювалося на «головним чином ізраїльські та палестинські юридичні та фізичні особи».
За словами Sentinel Labs, банда складається з кількох «суміжних підгруп», які протягом останніх п’яти років обмінювалися техніками, процесами та шкідливим програмним забезпеченням.
«Сюди входить Кіберугруповання Гази 1 (Молерати), Газа Cybergang Group 2 (Посушлива гадюка, Desert Falcons, APT-C-23) і Gaza Cybergang Group 3 (група за Операція Парламент)", - повідомили дослідники.
Хоча Gaza Cybergang працює на Близькому Сході більше десяти років, точне фізичне місцезнаходження її хакерів досі невідоме. Однак, виходячи з попередньої розвідки, Міленкоскі вважає, що вони, ймовірно, розсіяні по арабомовному світу в таких місцях, як Єгипет, Палестина та Марокко.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- : має
- :є
- :де
- $UP
- 1
- 2012
- 2022
- 2023
- a
- через
- дію
- активний
- діяльності
- діяльність
- сусідній
- Справи
- назад
- мета
- Також
- an
- та
- застосування
- арабська
- архів
- ЕСТЬ
- AS
- At
- нападки
- закулісний
- бекдори
- заснований
- Базова лінія
- було
- за
- Вірити
- вважає,
- між
- пропозиція
- обидва
- але
- by
- C + +
- Кампанії
- CAN
- можливості
- випадок
- випадків
- Зміни
- характеристика
- Кодування
- збір
- включає
- конфлікт
- послідовний
- послідовно
- містяться
- створення
- темно
- Темне читання
- десятиліття
- Delphi
- розгорнути
- описаний
- БУДУВАТИ
- призначений
- Незважаючи на
- Виявлення
- різниця
- Відмінності
- обговорювалися
- розійшлися
- розподілений
- розподіл
- документ
- документація
- байдуже
- скачати
- динаміка
- Схід
- Єгипет
- дозволяє
- зобов'язань
- Машинобудування
- англійська
- підвищувати
- юридичні особи
- шпигунство
- встановлений
- Ефір (ETH)
- Втеча
- виконання
- Пояснює
- зовнішній
- кілька
- філе
- Файли
- п'ять
- для
- Колишній
- від
- функціональність
- Банда
- Уряд
- Group
- хакери
- злом
- Мати
- Однак
- HTTPS
- однаковий
- in
- включати
- включені
- збільшений
- осіб
- інновація
- екземпляр
- Інтелект
- в
- участь
- Іран
- Ізраїльський
- IT
- ЙОГО
- сам
- JPG
- відомий
- Labs
- мова
- мови
- запуск
- як
- Ймовірно
- розташування
- Macro
- макроси
- головний
- обслуговування
- шкідливих програм
- Може..
- Середній
- середній Схід
- служіння
- більше
- Марокко
- множинний
- майже
- Нові
- новіший
- немає
- зазначив,
- спостерігається
- жовтень
- of
- Office
- часто
- on
- відкриття
- оригінал
- над
- Палестина
- Минуле
- phishing
- фішинг-атаки
- фізичний
- місця
- plato
- Інформація про дані Платона
- PlatoData
- політичний
- політично
- переважно
- попередній
- в першу чергу
- процеси
- Програмування
- мови програмування
- доказ
- читання
- останній
- біженців
- пов'язаний
- звітом
- дослідник
- Дослідники
- Зазначений
- говорить
- плановий
- Екран
- старший
- SentinelOne
- поселення
- кілька
- поділ
- Показувати
- значний
- схожість
- з
- ситуація
- соціальна
- Соціальна інженерія
- деякі
- поширення
- старт
- стан
- Як і раніше
- такі
- Сирія
- T
- тактика
- цільове
- націлювання
- цілі
- завдання
- методи
- розповідає
- ніж
- Що
- Команда
- Тематичні
- Теми
- Ці
- вони
- це
- загроза
- через
- по всьому
- до
- теми
- типово
- УКРАЇНСЬКА
- невідомий
- оновлений
- на
- використання
- використовуваний
- користувач
- використовує
- використання
- утиліта
- варіант
- варіації
- версія
- через
- жертви
- обсяг
- Стіна
- війна
- який
- в той час як
- ВООЗ
- windows
- з
- світ
- пише
- років
- зефірнет