Παρασκευή, 5 Ιουνίου, 13:31
Αρχική security Νέες επιθέσεις malware εντοπίζονται στην Μέση Ανατολή!

Νέες επιθέσεις malware εντοπίζονται στην Μέση Ανατολή!

Μια νέα καμπάνια malware έχει ανιχνευθεί στη Μέση Ανατολή, η οποία πραγματοποιείται μετά τα θύματα στα παλαιστινιακά εδάφη.

Μια έρευνα σχετικά με τις επιθέσεις, που διεξήχθη από την ομάδα Cybereason Nocturnus και δημοσιοποιήθηκε την Πέμπτη, υποδηλώνει ότι μία από τις ομάδες που ονομάζεται Gaza Cybergang  – γνωστή και ως Molerats – είναι δυνητικά υπεύθυνη.

Εντοπίστηκε από την Kaspersky ως τρεις ξεχωριστές «φατρίες» – MoleRATs, μια ομάδα που συνδέεται με τους Falcons της Desert, και το Operation Parliament – MoleRATs είναι μια αραβόφωνη, πολιτικά παρακινημένη ομάδα που λειτουργεί από το 2012.

malware

Η Kaspersky λέει ότι η ομάδα MoleRATs είναι η λιγότερο εξελιγμένη από τις τρεις και ενώ και οι τρεις χρησιμοποιούν διαφορετικά στυλ επίθεσης, όλοι χρησιμοποιούν κοινά εργαλεία και εντολές μετά τα αρχικά infections.

H Cybereason λέει ότι τους τελευταίους μήνες, η ομάδα MoleRATs προσπαθούσε να διεισδύσει στα συστήματα τόσο των οργανώσεων όσο και των ατόμων. Ωστόσο, δύο ξεχωριστές καμπάνιες malware φαίνεται να συμβαίνουν ταυτόχρονα.

Η πρώτη που ονομάστηκε Spark, χρησιμοποιεί το social engineering ως τον αρχικό φορέα επίθεσης. Τα phishing email προσπαθούν να προσελκύσουν θύματα, αξιοποιώντας πολιτικά ευαίσθητο περιεχόμενο, όπως η ισραηλινο-παλαιστινιακή σύγκρουση, οι εντάσεις μεταξύ της Hamas και της αιγυπτιακής κυβέρνησης και η δολοφονία του Qasem Soleimani.

Εάν τα θύματα ανοίξουν τα emails και τα συνδεδεμένα κακόβουλα αρχεία, αυτά τα έγγραφα παραπλανήσεων, συμπεριλαμβανομένου του Microsoft Office, του .PDF και φάκελων αρχείων. Όλα προσπαθούν να προσελκύσουν τα θύματα να κατεβάσουν ένα πρόσθετο αρχείο από το Egnyte ή το Dropbox. Όταν ανοίξει, ένα άλλο αρχείο – μεταμφιεσμένο ως έγγραφο του Microsoft Word – περιέχει ένα εκτελέσιμο αρχείο, το οποίο είναι το dropper backdoor του Spark.

Το backdoor Spark, το οποίο είναι πιθανό να είναι software προσαρμοσμένο από τους hackers, είναι σε θέση να συλλέξει πληροφορίες συστήματος σε μια μολυσμένη μηχανή, να κρυπτογραφήσει αυτές τις πληροφορίες και να τις στείλει σε ένα command-and-control (C2) server, κατεβάζοντας τα πρόσθετα κακόβουλα payloads και τέλος να εκτελέσει τις εντολές.

Το κακόβουλο λογισμικό θα ολοκληρώσει τα ωφέλιμα φορτία χρησιμοποιώντας το Enigma σε μια προσπάθεια αποφυγής ανίχνευσης και θα ανιχνεύσει προϊόντα προστασίας από ιούς χρησιμοποιώντας το WMI. Το Spark θα επιβεβαιώσει επίσης ότι το θύμα του είναι αραβικής καταγωγής με βάση τις ρυθμίσεις πληκτρολογίου και γλώσσας.

Το Pierogi είναι η δεύτερη καμπάνια, η οποία χρησιμοποιεί επίσης social engineering, αλλά χρησιμοποιεί μια διαφορετική σειρά από κακόβουλα έγγραφα, και ένα ολοκαίνουργιο backdoor.

Στην πλειονότητα των περιπτώσεων, οι ερευνητές του κυβερνοχώρου λένε ότι χρησιμοποιούνται οπτικοποιημένα έγγραφα του Microsoft Word, οδηγώντας επίσης σε περαιτέρω λήψεις κακόβουλων αρχείων μέσω μακροεντολών. Τα ονόματα συνήθως ονομάζονται ” Report on major developments_347678363764.exe,” ” Employee-entitlements-2020.doc,” και “Hamas_32th_Anniversary__32_1412_847403867_rar.exe”.

Στη συνέχεια, ένα backdoor εμφανίζεται. Ονομάστηκε Pierogi και είναι γραμμένο σε Delphi, και φαίνεται να έχει δημιουργηθεί από hackers που γνωρίζουν Ουκρανικά, όπως υποδεικνύει η ουκρανική γλώσσα που εντοπίστηκε στον κώδικα.

Παρά την απλότητα του, το malware εξακολουθεί να είναι σε θέση να συλλέγει και να κλέβει τα δεδομένα του συστήματος, να κατεβάζει επιπλέον payloads, να λαμβάνει screenshots και να εκτελεί εντολές μέσω CMD.

H Cybereason υποπτεύεται ότι ο σκοπός και των δύο εκστρατειών είναι να “αποκτήσουν ευαίσθητες πληροφορίες από τα θύματα και να το χρησιμοποιήσουν για πολιτικούς σκοπούς”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Κίνα και Ιράν προσπάθησαν να χακάρουν τις εκστρατείες Biden και Trump

Η Κίνα και το Ιράν προσπάθησαν να χακάρουν τις προεκλογικές εκστρατείες τόσο του Biden όσο και του Trump.

Gaia-X: η νέα πλατφόρμα cloud computing της Ευρώπης

Φαίνεται ότι η Ευρώπη αποφάσισε να απαλλαγεί από την Αμερική σε ότι αφορά τις υπηρεσίες cloud computing, δημιουργώντας το «Gaia-X».

CPA Canada: Παραβίαση δεδομένων επηρεάζει 329,000 άτομα

Ο οργανισμός Chartered Professional Accountants of Canada (CPA) αποκάλυψε ότι το site CPA Canada παραβιάστηκε από hackers,...

Η τεχνολογία με τον τρόπο που έχει σχεδιαστεί διαιωνίζει τον ρατσισμό

Σήμερα οι Ηνωμένες Πολιτείες καταρρέουν κάτω από το βάρος δύο πανδημιών: τον COVID -19 και την αστυνομική βαρβαρότητα. Και οι δύο προκαλούν...

Tycoon ransomware: Σε κίνδυνο Windows και Linux υπολογιστές!

Ένα νέο ransomware, που ανακαλύφθηκε πρόσφατα, στοχεύει συστήματα Windows και Linux. Το ransomware ονομάζεται Tycoon και είναι...

Τα νέα iPad Pro της Apple με σύνδεση 5G, A14X τσιπ και Mini-LED οθόνη!

Η Apple πρόκειται να κυκλοφορήσει νέα μοντέλα iPad Pro με το Α14Χ τσιπ, σύνδεση 5G, και οθόνη Mini-LED στο πρώτο μισό του...

Cisco: Σφάλματα σε IOS router επιτρέπουν πλήρη παραβίαση συστημάτων

Η Cisco αποκάλυψε τέσσερα κρίσιμα σφάλματα ασφαλείας που επηρεάζουν τον εξοπλισμό των router που χρησιμοποιούν τα IOS XE και IOS λογισμικά της....

Linux Greenie: Κυκλοφόρησε η έκδοση 20.04 με νέο desktop

Το Greenie Linux, είναι ένα λειτουργικό σύστημα βασισμένο στο ubuntu, το οποίο κατασκευάστηκε ειδικά για χρήστες που...

Zoom: Σφάλματα επιτρέπουν την παραβίαση συστημάτων συμμετεχόντων!

Ερευνητές ασφαλείας από την Cisco Talos ανακάλυψαν δύο σφάλματα στη δημοφιλή εφαρμογή τηλεδιάσκεψης Zoom, τα οποία μπορούν να επιτρέψουν σε έναν κακόβουλο...

Η ανίχνευση του “Incognito mode” δεν έχει διορθωθεί ακόμη από τον Chrome

Τα website εξακολουθούν να είναι σε θέση να εντοπίζουν πότε ένας επισκέπτης χρησιμοποιεί τη λειτουργία Incognito mode του Chrome, παρά τις προσπάθειες...