Cybereason ha pubblicato un rapporto di ricerca investigativa condotta dal suo gruppo Nocturnus, intitolato “New cyber espionage campaigns targeting palestinians”, in cui osserva il gruppo di criminali informatici MoleRAT alle prese con due nuove campagne che si svolgono simultaneamente, indirizzate a organizzazioni e individui nei territori palestinesi della Cisgiordania e della Striscia di Gaza.
Negli ultimi anni, questo gruppo ha attaccato Israele e altri paesi della regione palestinese.
Le due nuove campagne si differenziano per strumenti, infrastruttura del server e sfumature nel contenuto dell’esca e obiettivi stabiliti.
“Sospettiamo che i MoleRAT stiano conducendo queste campagne per ottenere informazioni sensibili dalle sue vittime da sfruttare a fini politici. I file dannosi si riferiscono agli affari politici in Medio Oriente, con riferimenti specifici al conflitto israelo-palestinese, tensione tra Hamas e Fatah, e altre entità politiche nella regione. Ci sono indicazioni che suggeriscono che la backdoor di Pierogi sia stata creata da sviluppatori di malware di lingua ucraina”, ha affermato uno dei ricercatori di Cybereason Nocturnus.
Difatti, i ricercatori di Cybereason attribuiscono a MoleRATs (alias The Gaza Cybergang, un gruppo di lingua araba e politicamente motivato che opera in Medio Oriente dal 2012), entrambe le campagne (chiamate Spark e Pierogi).
Dalle analisi effettuate è emerso che queste due campagne si differenziano per strumenti, infrastruttura del server e sfumature nel contenuto dell’esca e negli obiettivi previsti:
- La campagna Spark: utilizza l’ingegneria sociale per infettare le vittime, principalmente dei territori palestinesi, con la backdoor Spark. Questa backdoor è emersa per la prima volta a gennaio 2019 ed è stata continuamente attiva da allora. Il contenuto dell’esca della campagna ruota attorno ai recenti eventi geopolitici, in particolare al conflitto israelo-palestinese. I creatori della backdoor Spark usano diverse tecniche per eludere il rilevamento e rimanere sotto il radar. Comprimono il malware con un potente strumento commerciale chiamato Enigma Packer e implementano controlli linguistici per assicurarsi che le vittime parlino arabo. Ciò riduce al minimo il rischio di rilevazione e infezione di vittime indesiderate
- La campagna Pierogi: utilizza attacchi di ingegneria sociale per infettare le vittime con una nuova backdoor priva di documenti chiamata Pierogi. Questa backdoor è emersa per la prima volta nel dicembre 2019 ed è stata scoperta da Cybereason. In questa campagna, gli aggressori utilizzano diversi TTP e documenti di richiamo che ricordano le precedenti campagne di MoleRAT che coinvolgono i malware Micropsia e Kaperagent.
https://www.cybereason.com/blog/new-cyber-espionage-campaigns-targeting-palestinians-part-one
