Entidades governamentais no Oriente Médio estão sendo alvo de novas campanhas de phishing que são projetadas para disponibilizar um novo downloader de acesso inicial chamado IronWind.
A atividade, detectada entre julho e outubro de 2023, foi atribuída pela Proofpoint a um agente de ameaça que é rastreado pelo nome TA402, que também é conhecido como Molerats, Gaza Cyber Gang, e compartilha sobreposições táticas com uma equipe de hackers pró-Hamas conhecida como APT-C-23 (também conhecida como Arid Viper).
"Quando se trata de atores de ameaça alinhados ao estado, Coréia do Norte, Rússia, China e Irã geralmente recebem a maior parte da atenção", disse Joshua Miller, pesquisador sênior de ameaças da Proofpoint.
"Mas o TA402, um grupo de ameaça persistente avançada (APT) do Oriente Médio que historicamente tem atuado nos interesses dos Territórios Palestinos, tem se mostrado um agente de ameaça intrigante, capaz de realizar espionagem cibernética altamente sofisticada, com foco na coleta de inteligência."
Coincidindo com o uso do IronWind, as atualizações consistentes em seus mecanismos de entrega de malware, utilizando links do Dropbox, anexos de arquivos XLL e arquivos RAR para distribuir o IronWind.
O uso de IronWind é uma mudança em relação às cadeias de ataque anteriores, que estavam ligadas à propagação de uma backdoor apelidada de NimbleMamba nas intrusões que miravam governos do Oriente Médio e think tanks de política externa.
As últimas campanhas do TA402 são caracterizadas pelo uso de uma conta de e-mail comprometida pertencente ao Ministério das Relações Exteriores para enviar iscas de phishing apontando para links do Dropbox que facilitam a implementação do IronWind.
O downloader é projetado para entrar em contato com um servidor controlado pelo atacante para buscar payloads, incluindo um kit de ferramentas de pós-exploração chamado SharpSploit, após uma sequência multi-estágios.
Campanhas subsequentes de engenharia social em agosto e outubro de 2023 foram descobertas para utilizar arquivos XLL e anexos de arquivo RAR embutidos em mensagens de e-mail para acionar a implementação do IronWind.
Outra tática notável empregada pelo grupo é a dependência de técnicas de geofencing para complicar os esforços de detecção.
"O conflito em curso no Oriente Médio não parece ter atrapalhado suas operações, pois continuam a iterar e usar novos e astutos métodos de entrega para contornar os esforços de detecção", disse Miller.
"Usando cadeias de infecção complexas e criando novos malwares para atacar seus alvos, o TA402 continua a se envolver em atividades extremamente direcionadas com forte foco em entidades governamentais baseadas no Oriente Médio e Norte da África."
O desenvolvimento ocorre quando a Cisco Talos revelou que os cibercriminosos foram observados explorando o recurso "Liberar pontuações" dos quizzes do Google Forms para entregar e-mails e orquestrar golpes elaborados de criptomoedas, destacando as maneiras criativas que os atores de ameaça recorrem para atingir seus objetivos.
"Os e-mails são originários dos próprios servidores do Google e, consequentemente, podem ter mais facilidade para contornar as proteções anti-spam e encontrar a caixa de entrada da vítima", disse o pesquisador de segurança Jaeson Schultz na semana passada.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...