Molerats Group kasutab Lähis-Idas saladuste varastamiseks kohandatud kübertooli

Palestiinameelne küberspionaažirühm, mis on keskendunud Lähis-Ida valitsuse sihtmärkide kompromiteerimisele, on täiustanud oma ründetööriistu keeruka algse juurdepääsu allalaadijaga, jättes seejuures suures osas tähelepanuta äsja puhkenud konflikti. Iisrael ja Palestiina aladel.

TA402 (teise nimega Molerats ja Frankenstein), turvafirma Proofpoint, mis on tegutsenud üle kümne aasta, tõi välja uue keeruka tööriista nimega IronWind, mida kasutas kolmes kampaanias, mille eesmärk oli seada ohtu valitsusasutuste süsteeme kogu Lähis-Idas ja Põhja-Aafrikas. analüüsis öeldakse avaldatud 14. nov.

Ettevõte teatas, et grupp on loobunud valmistööriistadest rohkem kohandatud koodidele, mis on suunatud valitsusasutuste piiratud alamhulgale.

Kui "nelja suure" riigi – Venemaa, Hiina, Iraani ja Põhja-Korea – ohus osalejaid peetakse kõige aktiivsemateks ja võimekaimateks, näitab Molerats, et väiksematel rühmadel võivad olla keerukad tööriistad ja operatiivturvalisus, ütleb kõrgeim oht ​​Josh Miller. Proofpointi uurija.

"Ma arvan, et kogu selle rafineerituse nägemine vastase poolt väljaspool Suurt Nelikut on mõnevõrra ebatavaline," ütleb ta. "Seega on märkimisväärne, et näha suhteliselt keerukat pahavara tükki ja üldist tapmisahelat – eriti sellist, mis on araabia keele kõnelejate jaoks niivõrd geopiirdega piiratud."

Molerats Retools With IronWind

Moleraatide rühmitus on üks väheseid, mis näib asuvat Palestiina aladel või nendega samas piirkonnas. Moleratsi viimane küberrünnakukampaania kasutab piirkondlikele valitsustele suunatud peibutisena araabiakeelseid majandusteemalisi andmepüügirünnakuid, teatas Proofpoint oma analüüsis. Meilis olev link viib pahatahtliku Microsoft PowerPointi lisandmooduli failini, mille käivitamisel laaditakse alla ründe kolmas etapp, shellcode loader, mis viib viimasesse etappi ehk .NET-i tagaukseni.

Viimase paari kuu jooksul on rühm muutnud ründeahelat, et kasutada erinevaid peibutisi ja erinevaid pahatahtlikke teise etapi faile, keskendudes augustis Exceli failidele ja oktoobris RAR-i arhiivifailidele. Rünnakute ulatuse piiramiseks kasutab rühmitus ka geopiirdeid, suunates tuvastamise vältimiseks rünnakuahela osad seaduslikes serverites olevate healoomuliste dokumentide juurde.

Enamasti on rühmitus jätkanud spionaažitegevust tavapäraselt, hoolimata surmavast konfliktist piirkonnas, ütleb Proofpointi Miller.

"Mõned kommentaatorid on nüüd, kui Iisrael on alustanud pealetungi, öelnud, et moleraadid ja Palestiina küberoperaatorid võetakse juhatusest maha, kuid see pole see, mida me pole näinud," ütleb Miller. "Nad sihivad jätkuvalt sama tüüpi kliente ega muuda tingimata oma sihtimist ega muuda konfliktieelset taktikat."

Arenev grupp

Crowdstrike jälgib gruppi Äärmuslik šaakal, mis on taktikalt sarnane Moleratsiga ja Adam Meyers, CrowdStrike'i vastaste vastaste operatsioonide vanem asepresident, tõstis esile Hamasiga seotud rühmituse arengut küberkuritegevuse tööriistade kasutamisest omaenda loomiseni.

"Ajalooliselt kasutas Extreme Jackal oma tõenäoliste luureandmete kogumise toimingute saavutamiseks mitmesuguseid kaubanduslikult saadaolevaid tööriistu, " ütleb Meyers. "Tänase seisuga on vastane aga näidanud nihet kohandatud pahavara ainu kasutamise poole."

Kuigi Proofpoint ei nõustu sellega, et kaks nimetust kirjeldavad sama rühma, jõuab ettevõte samale järeldusele.

"TA402 jääb püsivaks ja uuendusmeelseks ohutegijaks, kes oma küberspionaaži mandaadi toetamiseks kasutab rutiinselt ümber oma ründemeetodeid ja pahavara," järeldati Proofpointi analüüsis, mis lisas hoiatuse: "Kuigi TA402 on luureandmete kogumisele keskendunud ohutegureid, kellel on konkreetne huvi. Lähis-Ida ja Põhja-Aafrika valitsusüksustes võib rühmitus leida endale korralduse kohandada oma sihtmärki või sotsiaalset manipuleerimist vastuseks käimasolevale Iisraeli-Hamasi konfliktile.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/dr-global/molerats-group-wields-custom-cyber-tool-to-steal-secrets-in-middle-east