Μια νέα καμπάνια malware έχει ανιχνευθεί στη Μέση Ανατολή, η οποία πραγματοποιείται μετά τα θύματα στα παλαιστινιακά εδάφη.
Μια έρευνα σχετικά με τις επιθέσεις, που διεξήχθη από την ομάδα Cybereason Nocturnus και δημοσιοποιήθηκε την Πέμπτη, υποδηλώνει ότι μία από τις ομάδες που ονομάζεται Gaza Cybergang – γνωστή και ως Molerats – είναι δυνητικά υπεύθυνη.
Εντοπίστηκε από την Kaspersky ως τρεις ξεχωριστές «φατρίες» – MoleRATs, μια ομάδα που συνδέεται με τους Falcons της Desert, και το Operation Parliament – MoleRATs είναι μια αραβόφωνη, πολιτικά παρακινημένη ομάδα που λειτουργεί από το 2012.
Η Kaspersky λέει ότι η ομάδα MoleRATs είναι η λιγότερο εξελιγμένη από τις τρεις και ενώ και οι τρεις χρησιμοποιούν διαφορετικά στυλ επίθεσης, όλοι χρησιμοποιούν κοινά εργαλεία και εντολές μετά τα αρχικά infections.
H Cybereason λέει ότι τους τελευταίους μήνες, η ομάδα MoleRATs προσπαθούσε να διεισδύσει στα συστήματα τόσο των οργανώσεων όσο και των ατόμων. Ωστόσο, δύο ξεχωριστές καμπάνιες malware φαίνεται να συμβαίνουν ταυτόχρονα.
Η πρώτη που ονομάστηκε Spark, χρησιμοποιεί το social engineering ως τον αρχικό φορέα επίθεσης. Τα phishing email προσπαθούν να προσελκύσουν θύματα, αξιοποιώντας πολιτικά ευαίσθητο περιεχόμενο, όπως η ισραηλινο-παλαιστινιακή σύγκρουση, οι εντάσεις μεταξύ της Hamas και της αιγυπτιακής κυβέρνησης και η δολοφονία του Qasem Soleimani.
Εάν τα θύματα ανοίξουν τα emails και τα συνδεδεμένα κακόβουλα αρχεία, αυτά τα έγγραφα παραπλανήσεων, συμπεριλαμβανομένου του Microsoft Office, του .PDF και φάκελων αρχείων. Όλα προσπαθούν να προσελκύσουν τα θύματα να κατεβάσουν ένα πρόσθετο αρχείο από το Egnyte ή το Dropbox. Όταν ανοίξει, ένα άλλο αρχείο – μεταμφιεσμένο ως έγγραφο του Microsoft Word – περιέχει ένα εκτελέσιμο αρχείο, το οποίο είναι το dropper backdoor του Spark.
Το backdoor Spark, το οποίο είναι πιθανό να είναι software προσαρμοσμένο από τους hackers, είναι σε θέση να συλλέξει πληροφορίες συστήματος σε μια μολυσμένη μηχανή, να κρυπτογραφήσει αυτές τις πληροφορίες και να τις στείλει σε ένα command-and-control (C2) server, κατεβάζοντας τα πρόσθετα κακόβουλα payloads και τέλος να εκτελέσει τις εντολές.
Το κακόβουλο λογισμικό θα ολοκληρώσει τα ωφέλιμα φορτία χρησιμοποιώντας το Enigma σε μια προσπάθεια αποφυγής ανίχνευσης και θα ανιχνεύσει προϊόντα προστασίας από ιούς χρησιμοποιώντας το WMI. Το Spark θα επιβεβαιώσει επίσης ότι το θύμα του είναι αραβικής καταγωγής με βάση τις ρυθμίσεις πληκτρολογίου και γλώσσας.
Το Pierogi είναι η δεύτερη καμπάνια, η οποία χρησιμοποιεί επίσης social engineering, αλλά χρησιμοποιεί μια διαφορετική σειρά από κακόβουλα έγγραφα, και ένα ολοκαίνουργιο backdoor.
Στην πλειονότητα των περιπτώσεων, οι ερευνητές του κυβερνοχώρου λένε ότι χρησιμοποιούνται οπτικοποιημένα έγγραφα του Microsoft Word, οδηγώντας επίσης σε περαιτέρω λήψεις κακόβουλων αρχείων μέσω μακροεντολών. Τα ονόματα συνήθως ονομάζονται ” Report on major developments_347678363764.exe,” ” Employee-entitlements-2020.doc,” και “Hamas_32th_Anniversary__32_1412_847403867_rar.exe”.
Στη συνέχεια, ένα backdoor εμφανίζεται. Ονομάστηκε Pierogi και είναι γραμμένο σε Delphi, και φαίνεται να έχει δημιουργηθεί από hackers που γνωρίζουν Ουκρανικά, όπως υποδεικνύει η ουκρανική γλώσσα που εντοπίστηκε στον κώδικα.
Παρά την απλότητα του, το malware εξακολουθεί να είναι σε θέση να συλλέγει και να κλέβει τα δεδομένα του συστήματος, να κατεβάζει επιπλέον payloads, να λαμβάνει screenshots και να εκτελεί εντολές μέσω CMD.
H Cybereason υποπτεύεται ότι ο σκοπός και των δύο εκστρατειών είναι να “αποκτήσουν ευαίσθητες πληροφορίες από τα θύματα και να το χρησιμοποιήσουν για πολιτικούς σκοπούς”.
