Novo Malware Pierogi++ da Gaza Cyber Gang mira entidades palestinas
15 de Dezembro de 2023

Um ator de ameaça pró-Hamas conhecido como Gaza Cyber Gang está mirando entidades palestinas usando uma versão atualizada de um backdoor chamado Pierogi.

Os resultados vêm da SentinelOne, que deu ao malware o nome de Pierogi++ devido ao fato de ser implementado na linguagem de programação C++ ao contrário de seu predecessor baseado em Delphi e Pascal.

"Atividades recentes da Gaza Cybergang mostram um alvo consistente em entidades palestinas, sem mudanças significativas observadas na dinâmica desde o início da guerra entre Israel e Hamas", disse o pesquisador de segurança Aleksandar Milenkoski em um relatório compartilhado com The Hacker News.

Acredita-se que o Gaza Cyber Gang, ativo pelo menos desde 2012, tem um histórico de ataques a alvos em todo o Oriente Médio, particularmente Israel e Palestina, geralmente utilizando spear-phishing como método de acesso inicial.

Algumas das famílias de malware notáveis em seu arsenal incluem BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy e XtremeRAT, entre outros.

O ator de ameaça é avaliado como uma composição de vários subgrupos que compartilham sobreposições de vítimas e malware, como Molerats, Arid Viper e um aglomerado referido como Operação Parlamento pela Kaspersky.

Nos últimos meses, o coletivo adversário foi ligado a uma série de ataques que entregam variantes improvisadas de seus implantes Micropsia e Arid Gopher, bem como um novo downloader de acesso inicial chamado IronWind.

O conjunto mais recente de intrusões realizadas pelo Gaza Cyber Gang foi encontrado para aproveitar Pierogi++ e Micropsia.

O primeiro uso registrado de Pierogi++ remonta ao final de 2022.

Cadeias de ataque são caracterizadas pelo uso de documentos iscas escritos em árabe ou inglês e relacionados a questões de interesse para os palestinos para entregar os backdoors.

A Cybereason, que lançou luz sobre Pierogi em fevereiro de 2020, descreveu-o como um implante que permite aos atacantes espionar vítimas alvo e que "os comandos usados para se comunicar com os servidores [de comando e controle] e outras strings no binário são escritos em ucraniano."

"A backdoor pode ter sido obtida em comunidades subterrâneas em vez de cultivada em casa", avaliou na época.

Tanto Pierogi como Pierogi++ estão equipados para tirar screenshots, executar comandos e baixar arquivos fornecidos pelo atacante.

Outro aspecto notável é que os artefatos atualizados não apresentam mais strings ucranianas no código.

A investigação da SentinelOne sobre as operações do Gaza Cyber Gang também revelou conexões táticas entre duas campanhas distintas referidas como Big Bang e Operation Bearded Barbie, além de reforçar os laços entre o ator de ameaça e a WIRTE, como divulgado anteriormente pela Kaspersky em novembro de 2021.

O foco constante na Palestina não obstante, a descoberta do Pierogi++ ressalta que o grupo continua a aprimorar e retrabalhar seu malware para garantir comprometimento bem-sucedido de alvos e para manter acesso persistente às suas redes.

"As sobreposições observadas em atingir e semelhanças de malware nos subgrupos do Gaza Cybergang após 2018 sugerem que o grupo provavelmente tem passado por um processo de consolidação", disse Milenkoski.

"Isso possivelmente inclui a formação de um centro interno de desenvolvimento e manutenção de malware e/ou a otimização do fornecimento de fornecedores externos."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...