Một nhóm những kẻ tấn công ủng hộ Hamas được gọi là Gaza Cybergang đang sử dụng một biến thể mới của phần mềm độc hại cửa sau Pierogi++ để tiến hành các cuộc tấn công vào các mục tiêu của người Palestine và Israel.
Theo nghiên cứu từ Phòng thí nghiệm Sentinel, cửa sau dựa trên ngôn ngữ lập trình C++ và đã được sử dụng trong các chiến dịch từ năm 2022 đến năm 2023. Những kẻ tấn công cũng đã sử dụng vi mô phần mềm độc hại trong các chiến dịch hack gần đây trên khắp Trung Đông.
Aleksandar Milenkoski, nhà nghiên cứu mối đe dọa cấp cao của Sentinel Labs, viết trong báo cáo: “Các hoạt động gần đây của Gaza Cybergang cho thấy mục tiêu nhất quán là nhắm vào các thực thể Palestine, không có thay đổi đáng kể nào về động lực kể từ khi bắt đầu cuộc chiến Israel-Hamas”.
Phân phối phần mềm độc hại
Tin tặc đã phát tán phần mềm độc hại Pierogi++ bằng cách sử dụng các tệp lưu trữ và tài liệu Office độc hại thảo luận về các chủ đề của người Palestine bằng cả tiếng Anh và tiếng Ả Rập. Chúng chứa các thành phần của Windows như các tác vụ theo lịch trình và các ứng dụng tiện ích, bao gồm các macro chứa phần mềm độc hại được thiết kế để phát tán cửa hậu Pierogi++.
Milenkoski nói với Dark Reading rằng Gaza Cybergang đã sử dụng các cuộc tấn công lừa đảo và tương tác trên mạng xã hội để lưu hành các tệp độc hại.
Milenkoski giải thích: “Được phân phối thông qua một tài liệu Office độc hại, Pierogi++ được macro Office triển khai khi người dùng mở tài liệu. “Trong trường hợp cửa sau được phát tán thông qua một tệp lưu trữ, nó thường ngụy trang thành một tài liệu có chủ đề chính trị về các vấn đề của người Palestine, đánh lừa người dùng thực thi nó thông qua hành động nhấp đúp.”
Nhiều tài liệu đã sử dụng các chủ đề chính trị để dụ dỗ nạn nhân và thực hiện cửa sau Pierogi++, chẳng hạn như: “Tình hình của người tị nạn Palestine ở người tị nạn Syria ở Syria” và “Bộ Nhà nước về Tường và Giải quyết các vấn đề do chính phủ Palestine thành lập”.
Pierogi gốc
Chủng phần mềm độc hại mới này là phiên bản cập nhật của backdoor Pierogi, các nhà nghiên cứu tại Cybereason xác định gần năm năm trước.
Những nhà nghiên cứu đó mô tả cửa sau cho phép “những kẻ tấn công theo dõi các nạn nhân mục tiêu” bằng cách sử dụng kỹ thuật xã hội và các tài liệu giả mạo, thường dựa trên các chủ đề chính trị liên quan đến chính phủ Palestine, Ai Cập, Hezbollah và Iran.
Sự khác biệt chính giữa backdoor Pierogi ban đầu và biến thể mới hơn là biến thể trước sử dụng ngôn ngữ lập trình Delphi và Pascal, trong khi biến thể sau sử dụng C++.
Các biến thể cũ hơn của cửa hậu này cũng sử dụng các lệnh cửa sau tiếng Ukraina ‘vydalyty’, ‘Zavantazhyty’ và ‘Ekspertyza’. Pierogi++ sử dụng chuỗi tiếng Anh 'tải xuống' và 'màn hình'.
Việc sử dụng tiếng Ukraina trong các phiên bản trước của Pierogi có thể gợi ý sự tham gia của bên ngoài vào việc tạo và phân phối cửa sau, nhưng Sentinel Labs không tin trường hợp này xảy ra với Pierogi++.
Sentinel Labs quan sát thấy rằng cả hai biến thể đều có những điểm tương đồng về mã hóa và chức năng mặc dù có một số khác biệt. Chúng bao gồm các tài liệu giả mạo giống hệt nhau, chiến thuật trinh sát và chuỗi phần mềm độc hại. Chẳng hạn, tin tặc có thể sử dụng cả hai cửa sau để sàng lọc, tải xuống tệp và thực thi lệnh.
Các nhà nghiên cứu cho biết Pierogi++ là bằng chứng cho thấy Gaza Cybergang đang tăng cường “bảo trì và đổi mới” phần mềm độc hại của mình nhằm “nâng cao khả năng và tránh bị phát hiện dựa trên các đặc điểm phần mềm độc hại đã biết”.
Không có hoạt động mới kể từ tháng 10
Trong khi Gaza Cybergang nhắm mục tiêu vào các nạn nhân người Palestine và Israel trong các chiến dịch chủ yếu là “thu thập thông tin tình báo và gián điệp” kể từ năm 2012, nhóm này đã không tăng khối lượng hoạt động cơ bản kể từ khi bắt đầu cuộc xung đột ở Gaza vào tháng XNUMX. Milenkoski cho biết nhóm này đã liên tục nhắm mục tiêu vào “các thực thể và cá nhân chủ yếu là Israel và Palestine” trong vài năm qua.
Sentinel Labs lưu ý rằng nhóm này bao gồm một số “nhóm phụ liền kề” đã chia sẻ các kỹ thuật, quy trình và phần mềm độc hại trong 5 năm qua.
“Chúng bao gồm Nhóm Gaza Cybergang 1 (Nốt ruồi), Nhóm Gaza Cybergang 2 (Rắn lục khô cằn, Desert Falcons, APT-C-23) và Gaza Cybergang Group 3 (nhóm đứng sau Quốc hội hoạt động), các nhà nghiên cứu cho biết.
Mặc dù Gaza Cybergang đã hoạt động ở Trung Đông hơn một thập kỷ nhưng vẫn chưa xác định được vị trí thực tế chính xác của các tin tặc tại đây. Tuy nhiên, dựa trên thông tin tình báo trước đó, Milenkoski tin rằng họ có khả năng phân tán khắp thế giới nói tiếng Ả Rập ở những nơi như Ai Cập, Palestine và Maroc.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets
- : có
- :là
- :Ở đâu
- $ LÊN
- 1
- 2012
- 2022
- 2023
- a
- ngang qua
- Hoạt động
- hoạt động
- hoạt động
- hoạt động
- liền kề
- Giao
- cách đây
- nhằm mục đích
- Ngoài ra
- an
- và
- các ứng dụng
- arabic
- lưu trữ
- LÀ
- AS
- At
- Các cuộc tấn công
- cửa sau
- Backdoors
- dựa
- Baseline
- được
- sau
- Tin
- tin
- giữa
- thầu
- cả hai
- nhưng
- by
- C + +
- Chiến dịch
- CAN
- khả năng
- trường hợp
- trường hợp
- Những thay đổi
- đặc điểm
- Lập trình
- bộ sưu tập
- bao gồm
- xung đột
- thích hợp
- nhất quán
- chứa
- tạo
- tối
- Đọc tối
- thập kỷ
- Delphi
- triển khai
- mô tả
- SA MẠC
- thiết kế
- Mặc dù
- Phát hiện
- sự khác biệt
- sự khác biệt
- thảo luận
- phân tán
- phân phối
- phân phối
- tài liệu
- tài liệu
- doesn
- tải về
- động lực
- Đông
- Ai Cập
- cho phép
- cam kết
- Kỹ Sư
- Tiếng Anh
- nâng cao
- thực thể
- gián điệp
- thành lập
- Ether (ETH)
- trốn tránh
- thi hành
- Giải thích
- ngoài
- vài
- Tập tin
- Các tập tin
- năm
- Trong
- Cựu
- từ
- chức năng
- Đám
- Chính phủ
- Nhóm
- tin tặc
- hack
- Có
- Tuy nhiên
- HTTPS
- giống hệt nhau
- in
- bao gồm
- bao gồm
- tăng
- các cá nhân
- sự đổi mới
- ví dụ
- Sự thông minh
- trong
- sự tham gia
- Iran
- Israeli
- IT
- ITS
- chính nó
- jpg
- nổi tiếng
- Phòng thí nghiệm
- Ngôn ngữ
- Ngôn ngữ
- phóng
- Lượt thích
- Có khả năng
- địa điểm thư viện nào
- Macro
- macro
- Chủ yếu
- bảo trì
- phần mềm độc hại
- Có thể..
- Tên đệm
- Trung Đông
- Bộ
- chi tiết
- morocco
- nhiều
- gần
- Mới
- mới hơn
- Không
- lưu ý
- quan sát
- Tháng Mười
- of
- Office
- thường
- on
- mở
- nguyên
- kết thúc
- Palestine
- qua
- Lừa đảo
- tấn công lừa đảo
- vật lý
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- chính trị
- về mặt chính trị
- chủ yếu
- trước
- chủ yếu
- Quy trình
- Lập trình
- ngôn ngữ lập trình
- bằng chứng
- Reading
- gần đây
- người tị nạn
- liên quan
- báo cáo
- nhà nghiên cứu
- nhà nghiên cứu
- Nói
- nói
- lên kế hoạch
- Màn
- cao cấp
- lính gác một
- giải quyết
- một số
- chia sẻ
- hiển thị
- có ý nghĩa
- tương
- kể từ khi
- tình hình
- Mạng xã hội
- Kỹ thuật xã hội
- một số
- lan tràn
- Bắt đầu
- Tiểu bang
- Vẫn còn
- như vậy
- Syria
- T
- chiến thuật
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- nhiệm vụ
- kỹ thuật
- nói
- hơn
- việc này
- Sản phẩm
- Theo chủ đề
- chủ đề
- Kia là
- họ
- điều này
- mối đe dọa
- Thông qua
- khắp
- đến
- Chủ đề
- thường
- Tiếng Ukraina
- không xác định
- cập nhật
- trên
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- sử dụng
- tiện ích
- biến thể
- biến thể
- phiên bản
- thông qua
- nạn nhân
- khối lượng
- Tường
- chiến tranh
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- cửa sổ
- với
- thế giới
- đã viết
- năm
- zephyrnet
