Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 2. februar 2022 | Emne: Sikkerhed
Ard Viper cyberangrebsgruppen er tilbage med en ny kampagne rettet mod palæstinensiske organisationer og aktivister.
Gruppen avanceret vedvarende trussel (APT), der menes at være placeret i Gaza – et område med konflikt og arnested for spændinger mellem Israel og Palæstina – angriber organisationer verden over, men ser nu ud til at være fokuseret på enheder relateret til politikken omkring Palæstina.
Arid Viper, også kendt som Desert Falcon, Two-tailed Scorpion eller APT C-23, har eksisteret siden mindst 2015. Tidligere har gruppen været ansvarlig for spear phishing-angreb mod palæstinensere retshåndhævelse, militæret, uddannelsesinstitutioner og Israel Security Agency (ISA).
Windows og Android malware er blevet brugt tidligere, hvoraf sidstnævnte er spredt gennem falske app-butikker. Delphi-malware har dog været stærkt med i tidligere kampagner og ser stadig ud til at være det foretrukne våben for Arid Viper.
I onsdags sagde forskere fra Cisco Talos, at den igangværende kampagne bruger et Delphi-baseret Micropsia-implantat til at angribe aktivister.
“De seneste prøver fundet af Talos får os til at tro, at dette er en kampagne, der er knyttet til den tidligere kampagne, vi rapporterede om i 2017,” siger forskerne og tilføjer, at Arid Viper's hovedfokus er på cyberspionage – og målene er udvalgt af operatører baseret på den politiske motivation for “befrielsen af Palæstina.”
Den første angrebsvektor er phishing-e-mails med inkluderet indhold knyttet til den politiske palæstinensiske situation og normalt stjålet fra nyhedsbureauer. For eksempel var et lokkedokument relateret til palæstinensisk familiesammenføring, offentliggjort i 2021, mens et andet indeholdt en registrering af aktivistiske spørgsmål.
Hvis et tilsigtet offer åbner et af disse dokumenter, udløses implantatet og udvinder en række af Remote Access Trojan (RAT)-funktioner. Malwaren vil indsamle operativsystem- og antivirusdata, eksfiltrere dem til operatørens kommando-og-kontrol-server (C2), stjæle indhold på maskinen, tage skærmbilleder og udføre yderligere overvågningsaktiviteter.
En timer indeholdt i implantatet vil også etablere persistens på målmaskinen gennem Startup-mappen.
“Den fortsatte brug af de samme TTP'er i løbet af de sidste fire år indikerer, at gruppen ikke føler sig påvirket af den offentlige eksponering af sine kampagner og implantater, og fortsætter med at drive business as usual,” siger Talos. “Denne fuldstændige mangel på afskrækkelse gør dem til en farlig gruppe, når de beslutter sig for at målrette en organisation eller et individ.”
I relaterede nyheder i denne uge afslørede Talos og Cybereason tre separate APT-kampagner, der menes at være værket af statsstøttede iranske cyberkriminelle. MuddyWater, Phosphorus og Moses Staff retter sig mod enheder i Tyrkiet, USA, Israel, Europa og Mellemøsten.
Tidligere og relateret dækning
Kinesisk APT implementerer MoonBounce-implantat i UEFI-firmware
Donot Team APT vil ramme regerings-, militære mål i årevis – indtil det lykkes
Ny avanceret hackergruppe retter sig mod regeringer, ingeniører over hele verden
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre