Um ator de ameaça pró-Hamas conhecido como Gaza Cyber Gang está mirando entidades palestinas usando uma versão atualizada de um backdoor chamado Pierogi.
Os resultados vêm da SentinelOne, que deu ao malware o nome de Pierogi++ devido ao fato de ser implementado na linguagem de programação C++ ao contrário de seu predecessor baseado em Delphi e Pascal.
"Atividades recentes da Gaza Cybergang mostram um alvo consistente em entidades palestinas, sem mudanças significativas observadas na dinâmica desde o início da guerra entre Israel e Hamas", disse o pesquisador de segurança Aleksandar Milenkoski em um relatório compartilhado com The Hacker News.
Acredita-se que o Gaza Cyber Gang, ativo pelo menos desde 2012, tem um histórico de ataques a alvos em todo o Oriente Médio, particularmente Israel e Palestina, geralmente utilizando spear-phishing como método de acesso inicial.
Algumas das famílias de malware notáveis em seu arsenal incluem BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy e XtremeRAT, entre outros.
O ator de ameaça é avaliado como uma composição de vários subgrupos que compartilham sobreposições de vítimas e malware, como Molerats, Arid Viper e um aglomerado referido como Operação Parlamento pela Kaspersky.
Nos últimos meses, o coletivo adversário foi ligado a uma série de ataques que entregam variantes improvisadas de seus implantes Micropsia e Arid Gopher, bem como um novo downloader de acesso inicial chamado IronWind.
O conjunto mais recente de intrusões realizadas pelo Gaza Cyber Gang foi encontrado para aproveitar Pierogi++ e Micropsia.
O primeiro uso registrado de Pierogi++ remonta ao final de 2022.
Cadeias de ataque são caracterizadas pelo uso de documentos iscas escritos em árabe ou inglês e relacionados a questões de interesse para os palestinos para entregar os backdoors.
A Cybereason, que lançou luz sobre Pierogi em fevereiro de 2020, descreveu-o como um implante que permite aos atacantes espionar vítimas alvo e que "os comandos usados para se comunicar com os servidores [de comando e controle] e outras strings no binário são escritos em ucraniano."
"A backdoor pode ter sido obtida em comunidades subterrâneas em vez de cultivada em casa", avaliou na época.
Tanto Pierogi como Pierogi++ estão equipados para tirar screenshots, executar comandos e baixar arquivos fornecidos pelo atacante.
Outro aspecto notável é que os artefatos atualizados não apresentam mais strings ucranianas no código.
A investigação da SentinelOne sobre as operações do Gaza Cyber Gang também revelou conexões táticas entre duas campanhas distintas referidas como Big Bang e Operation Bearded Barbie, além de reforçar os laços entre o ator de ameaça e a WIRTE, como divulgado anteriormente pela Kaspersky em novembro de 2021.
O foco constante na Palestina não obstante, a descoberta do Pierogi++ ressalta que o grupo continua a aprimorar e retrabalhar seu malware para garantir comprometimento bem-sucedido de alvos e para manter acesso persistente às suas redes.
"As sobreposições observadas em atingir e semelhanças de malware nos subgrupos do Gaza Cybergang após 2018 sugerem que o grupo provavelmente tem passado por um processo de consolidação", disse Milenkoski.
"Isso possivelmente inclui a formação de um centro interno de desenvolvimento e manutenção de malware e/ou a otimização do fornecimento de fornecedores externos."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...