Molerats Group käyttää räätälöityä Cybertoola salaisuuksien varastamiseen Lähi-idässä

Palestiinalaisia ​​myönteinen kybervakoiluryhmä, joka keskittyi hallituksen kohteiden vaarantamiseen Lähi-idässä, on parantanut hyökkäystyökalujaan hienostuneella alkulatausohjelmalla – samalla jättäen suurelta osin huomiotta vuonna 2000 alkaneen konfliktin. Israel ja palestiinalaisalueet.

TA402 (alias Molerats ja Frankenstein), joka on ollut aktiivinen yli vuosikymmenen ajan, otti käyttöön uuden hienostuneen työkalun nimeltä IronWind, jota se käytti kolmessa kampanjassa, joiden tarkoituksena oli vaarantaa valtion virastojen järjestelmät kaikkialla Lähi-idässä ja Pohjois-Afrikassa, turvallisuusyritys Proofpoint totesi analyysissä julkaistu 14. marraskuuta.

Yritys totesi, että ryhmä on siirtynyt pois valmiista työkaluista mukautettuun koodiin, joka on kohdistettu rajoitettuun osaan valtion organisaatioita.

Vaikka "neljän suuren" maiden – Venäjän, Kiinan, Iranin ja Pohjois-Korean – uhkatoimijoita pidetään aktiivisimpina ja kykenevimpinä, Molerats osoittaa, että pienemmillä ryhmillä voi olla kehittyneitä työkaluja ja toimintaturvallisuutta, sanoo korkea uhkatekijä Josh Miller. Proofpointin tutkija.

"Kaiken tämän hienostuneisuuden näkeminen suuren neljän ulkopuolelta tulevalta vastustajalta on mielestäni hieman epätavallista", hän sanoo. "Joten suhteellisen hienostuneen haittaohjelman ja yleisen tappoketjun näkeminen - varsinkin sellaisen, joka on geoaitattu arabiankielisille - on huomionarvoista."

Molerats Retools kanssa IronWind

Molerats-ryhmä on yksi harvoista, jotka näyttävät sijaitsevan palestiinalaisalueilla tai samalla alueella. Moleratsin viimeisin kyberhyökkäyskampanja käyttää talousaiheisia arabiankielisiä tietojenkalasteluhyökkäyksiä aluehallituksiin kohdistuvana houkuttimena, Proofpoint totesi analyysissaan. Sähköpostissa oleva linkki johtaa haitalliseen Microsoft PowerPoint -apuohjelmatiedostoon, joka ajettaessa lataa hyökkäyksen kolmannen vaiheen, shellcode loaderin, joka johtaa viimeiseen vaiheeseen, .NET-takaoviin.

Viime kuukausien aikana ryhmä on muokannut hyökkäysketjua käyttämään erilaisia ​​vieheitä ja erilaisia ​​haitallisia toisen vaiheen tiedostoja keskittyen Excel-tiedostoihin elokuussa ja RAR-arkistotiedostoihin lokakuussa. Ryhmä käyttää myös geoaitausta rajoittaakseen hyökkäysten laajuutta ja ohjaamalla osia hyökkäysketjusta hyvänlaatuisiin asiakirjoihin laillisilla palvelimilla havaitsemisen välttämiseksi.

Suurimmaksi osaksi ryhmä on jatkanut vakoilutoimintaansa entiseen tapaan huolimatta alueen tappavasta konfliktista, sanoo Proofpointin Miller.

"Jotkut kommentaattorit ovat sanoneet nyt, kun Israel on aloittanut hyökkäyksensä, että moleraatit ja palestiinalaiset kyberoperaattorit poistetaan laudalta, mutta se ei ole sitä, mitä me olemme nähneet", Miller sanoo. "He jatkavat kohdistamistaan ​​samantyyppisiin asiakkaisiin, eivätkä he välttämättä muuta kohdistamistaan ​​tai muuta taktiikkaansa konfliktia edeltäneestä."

Kehittyvä ryhmä

Crowdstrike seuraa ryhmää Äärimmäinen sakaali, joka on taktiikaltaan samanlainen kuin Molerats, ja Adam Meyers, CrowdStriken vihollisen vastatoimien johtaja, korosti Hamasiin liittyvän ryhmän kehitystä kyberrikollisten työkalujen käytöstä oman luomiseen.

"Historiallisesti Extreme Jackal käytti useita kaupallisesti saatavilla olevia työkaluja saavuttaakseen todennäköiset tiedustelutiedot", Meyers sanoo. "Tästä lähtien vastustaja on kuitenkin osoittanut siirtymistä kohti räätälöityjen haittaohjelmien yksinomaista käyttöä."

Vaikka Proofpoint ei ole samaa mieltä siitä, että nämä kaksi nimitystä kuvaavat samaa ryhmää, yritys tulee samaan johtopäätökseen.

"TA402 on edelleen jatkuva ja innovatiivinen uhkatoimija, joka työstää rutiininomaisesti uudelleen hyökkäysmenetelmiään ja haittaohjelmiaan kybervakoiluvaltuuksiensa tueksi", Proofpoint-analyysi totesi ja lisäsi varoituksen: "Vaikka TA402 on tiedustelutietojen keräämiseen keskittynyt uhkatoimija, jolla on erityinen kiinnostus. Lähi-idän ja Pohjois-Afrikan hallituksen yksiköissä ryhmä voi joutua ohjaamaan kohdentamistaan ​​tai sosiaalisen suunnittelun houkuttelemista vastauksena meneillään olevaan Israelin ja Hamasin konfliktiin.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/dr-global/molerats-group-wields-custom-cyber-tool-to-steal-secrets-in-middle-east