支持哈马斯的网络攻击者将“Pierogi”恶意软件瞄准多个中东目标

一群被称为 Gaza Cyber​​gang 的亲哈马斯攻击者正在使用 Pierogi++ 后门恶意软件的新变种对巴勒斯坦和以色列目标发动攻击。

根据 Sentinel 实验室的研究该后门基于 C++ 编程语言，已在 2022 年至 2023 年的活动中使用。攻击者还一直在使用 显微菌 最近中东地区的黑客活动中存在恶意软件。

哨兵实验室高级威胁研究员亚历山大·米伦科斯基（Aleksandar Milenkoski）在报告中写道：“最近的加沙网络犯罪团伙活动表明，巴勒斯坦实体一直是针对巴勒斯坦实体的，自以色列与哈马斯战争爆发以来，没有观察到动态发生重大变化。”

分发恶意软件

黑客使用存档文件和恶意 Office 文档分发 Pierogi++ 恶意软件，这些文档以英语和阿拉伯语讨论巴勒斯坦主题。其中包含 Windows 工件，例如计划任务和实用应用程序，其中包括旨在传播 Pierogi++ 后门的恶意软件宏。

Milenkoski 告诉 Dark Reading，加沙网络帮派使用网络钓鱼攻击和基于社交媒体的活动来传播恶意文件。

“Pierogi++ 通过恶意 Office 文档进行分发，在用户打开文档时由 Office 宏进行部署，”Milenkoski 解释道。 “如果后门通过存档文件传播，它通常会将自己伪装成有关巴勒斯坦事务的政治主题文件，欺骗用户通过双击操作来执行它。”

其中许多文件使用政治主题来引诱受害者并执行Pierogi++后门，例如：“叙利亚境内的巴勒斯坦难民状况”和“巴勒斯坦政府设立的隔离墙和定居点事务部”。

最初的波兰饺子

这种新的恶意软件菌株是 Pierogi 后门的更新版本，Cyber​​eason 的研究人员 确定 大约五年前。

这些研究人员将后门描述为“攻击者能够利用社会工程和欺骗性文件来监视目标受害者”，这些文件通常基于与巴勒斯坦政府、埃及、真主党和伊朗相关的政治话题。

原始 Pierogi 后门和新变种之间的主要区别在于，前者使用 Delphi 和 Pascal 编程语言，而后者使用 C++。

该后门的旧版本还使用乌克兰后门命令“vydalyty”、“Zavantazhyty”和“Ekspertyza”。 Pierogi++ 使用英文字符串“download”和“screen”。

在 Pierogi 的早期版本中使用乌克兰语可能表明外部参与了后门的创建和分发，但 Sentinel Labs 认为 Pierogi++ 的情况并非如此。

Sentinel Labs 观察到，尽管存在一些差异，但这两种变体在编码和功能上都有相似之处。其中包括相同的欺骗文档、侦察策略和恶意软件字符串。例如，黑客可以使用这两个后门进行屏幕截图、下载文件和执行命令。

研究人员表示，Pierogi++ 证明 Gaza Cyber​​gang 正在加强其恶意软件的“维护和创新”，以“增强其功能并逃避基于已知恶意软件特征的检测”。

自十月以来没有新活动

尽管自 2012 年以来，加沙网络帮一直以巴勒斯坦和以色列受害者为主要目标，开展“情报收集和间谍活动”活动，但自 XNUMX 月份加沙冲突爆发以来，该组织并未增加其基准活动量。米伦科斯基表示，该组织在过去几年中一直以“主要是以色列和巴勒斯坦实体和个人”为目标。

Sentinel Labs 指出，该团伙由几个“相邻的小组”组成，他们在过去五年中一直在共享技术、流程和恶意软件。

“其中包括加沙网络帮第一集团（莫莱拉特），加沙网络帮第二集团（干旱毒蛇、沙漠猎鹰、APT-C-23）和加沙网络帮组 3（背后的组织） 议会行动），”研究人员说。

尽管加沙网络帮已经在中东活跃了十多年，但其黑客的确切物理位置仍然未知。然而，根据之前的情报，米伦科斯基认为他们很可能分散在埃及、巴勒斯坦和摩洛哥等阿拉伯语世界各地。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets