2022-02-10

Palestinsk hackergrupp slår till mot regeringar i Mellanöstern

I slutet av 2021 upptäckte cybersäkerhetsföretaget Proofpoint en rad attacker riktade mot regeringar i Mellanöstern, utrikespolitiska tankesmedjor och ett statligt anslutet flygbolag. Mycket tyder på att det är den palestinska hackergruppen TA402 som ligger bakom attackerna.   

Under tre månader observerade Proofpoint flera varianter av attacker som de tillskriver den cyberkriminella gruppen TA402, även känd som Molerats. Baserat på Proofpoints granskning är TA402 ett hot mot organisationer och regeringar i Mellanöstern, och uppdaterar ständigt sin skadliga programvara och metoder.  

Efter att Proofpoint publicerat en rapport om observationer av gruppen i juni 2021, verkade TA402 upphöra med sin verksamhet under en kort period. Enligt företaget använde gruppen avbrottet för att uppdatera sin skadliga mjukvara och leveransmekanismer för att göra dem mer svårupptäckta.  

Gruppen använder sig också av så kallad geostaket-teknik, ett sätt att avgränsa attacker till specifika geografiska områden, tillsammans med varierande attackkedjor, vilket försvårar arbetet att upptäcka och skydda sig mot den kriminella gruppens aktiviteter.  

I de senaste attackerna använde TA402 riktade nätfiskeattacker som innehöll länkar som leder till nedladdning av skadliga filer. I en av attackerna maskerade TA402 sina skadliga länkar för att få dem att se ut att vara från det populära varumärket UGG. Kampanjen använde även geostaket-teknik som gjorde att om mottagarens IP-adress passade in i det geografiska området, omdirigerades användaren till en filnedladdning innehållande gruppens senaste trojaner. Om användaren däremot befann sig utanför det geografiska området omdirigerades användaren istället till en legitim nyhetssajt.  

Samtliga webbadresser leder till nedladdning av två varianter av trojaner som kallas NimbleMamba och BrittleBush. Båda två har de traditionella funktionerna hos en trojan som samlar in information, men har även ytterligare förmågor. Bland annat är de kapabla att ta skärmdumpar och hämta processinformation från den infekterade datorn. Dessutom kan de upptäcka användarinteraktion, såsom musrörelser och interaktion med tangentbordet.  

– Under de sista månaderna av 2021 förfinade TA402 sina leveransmetoder och skadlig programvara i kampanjer som konsekvent riktade sig till enheter i Mellanöstern. Vår direkta observation av dessa kampanjer avslöjade en komplex attackkedja och gjorde det möjligt för oss att notera nyansskillnaderna i gruppens senaste implementering, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint. 

Analysen visar ett tydligt fokus att rikta in sig på Mellanöstern. Kampanjer har varit riktade mot Mellanösterns regeringar, utrikespolitiska tankesmedjor och ett statligt anslutet flygbolag och bedömer att TA402 sannolikt verkar för att stödja palestinska mål. Det överensstämmer med tidigare observationer samt branschens tidigare publicerade bedömningar.  

Baserat på variationerna mellan deras attacker, tillsammans med det historiska mönstret av utveckling av ny skadlig programvara, bedöms med stor sannolikhet att TA402 kommer att fortsätta att uppdatera både skadlig programvara och infektionskedjor för att försvåra defensiva åtgärder.   


Taggar


Leverantörer
Ändra marknad
Till toppen av sidan
Stäng