Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 2 februari 2022 | Ämne: Säkerhet
Ard Viper cyberattackgruppen är tillbaka med en ny kampanj riktad mot palestinska organisationer och aktivister.
Den avancerade ihållande hotgruppen (APT), som tros vara belägen i Gaza – ett område med konflikter och spänningshärd mellan Israel och Palestina – attackerar organisationer över hela världen men verkar nu för närvarande fokusera på enheter relaterade till politiken kring Palestina.
Arid Viper, även känd som Desert Falcon, Two-tailed Scorpion eller APT C-23, har funnits sedan åtminstone 2015. Tidigare har gruppen varit ansvarig för spjutfiskeattacker mot palestinier brottsbekämpning, militären, utbildningsinrättningar och Israel Security Agency (ISA).
Windows och Android skadlig kod har använts tidigare, varav den senare sprids via falska appbutiker. Delphi skadlig kod har dock varit en stor del av tidigare kampanjer och verkar fortfarande vara det valda vapnet för Arid Viper.
I onsdags sa forskare från Cisco Talos att den pågående kampanjen använder ett Delphi-baserat Micropsia-implantat för att slå aktivister.
“De senaste proverna som hittats av Talos får oss att tro att detta är en kampanj kopplad till den tidigare kampanjen som vi rapporterade om 2017”, säger forskarna och tillägger att huvudfokus för Arid Viper ligger på cyberspionage – och målen väljs ut av operatörer baserade på den politiska motivationen för “befrielsen av Palestina”.
Den första attackvektorn är nätfiske-e-postmeddelanden, med inkluderat innehåll kopplat till den politiska palestinska situationen och vanligtvis stulet från nyhetsbyråer. Till exempel var ett lockbetedokument relaterat till palestinsk familjeåterförening, publicerat 2021, medan ett annat innehöll ett register över aktivistfrågor.
Om ett tilltänkt offer öppnar ett av dessa dokument utlöses implantatet och extraherar en rad funktioner för Remote Access Trojan (RAT). Skadlig programvara kommer att samla in operativsystem och antivirusdata, exfiltrera den till operatörens kommando-och-kontroll-server (C2), stjäla innehåll på maskinen, ta skärmdumpar och utföra ytterligare övervakningsaktiviteter.
En timer som finns i implantatet kommer också att etablera beständighet på målmaskinen via Startup-mappen.
“Den fortsatta användningen av samma TTP under de senaste fyra åren indikerar att gruppen inte känner sig påverkad av den offentliga exponeringen av sina kampanjer och implantat, och fortsätter att bedriva verksamhet som vanligt”, säger Talos. “Denna fullständiga brist på avskräckning gör dem till en farlig grupp när de väl bestämmer sig för att rikta in sig på en organisation eller individ.”
I relaterade nyheter denna vecka avslöjade Talos och Cybereason tre separata APT-kampanjer som tros vara ett verk av statsstödda iranska cyberbrottslingar. MuddyWater, Phosphorus och Moses Staff riktar sig mot enheter i Turkiet, USA, Israel, Europa och Mellanöstern.
Tidigare och relaterad täckning
Kinesiska APT distribuerar MoonBounce-implantat i UEFI-firmware
Donot Team APT kommer att slå statliga, militära mål i flera år – tills de lyckas
Ny avancerad hackningsgrupp riktar sig till regeringar, ingenjörer över hela världen
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter