Olarak bilinen tehdit aktörü Kurak Engerek Eylül 2022’den bu yana Filistin varlıklarını hedef alan saldırılarında kötü amaçlı yazılım araç setinin yenilenmiş varyantlarını kullandığı gözlemlendi.
Grubu böcek temalı lakabı Mantis altında izleyen Symantec, rakibin “hedeflenen ağlarda kalıcı bir varlık sürdürmek için büyük çaba sarf edeceğini” söyledi.
APT-C-23 ve Desert Falcon isimleriyle de bilinen hacker grubu, en azından 2014’ten beri Filistin ve Ortadoğu’yu hedef alan saldırılarla bağlantılı.
Mantis, kampanyalarını Windows, Android ve iOS platformlarında yürütmek ve gizlemek için ViperRat, FrozenCell (aka VolatileVenom) ve Micropsia gibi ev yapımı kötü amaçlı yazılım araçlarından oluşan bir cephanelik kullandı.
Kaspersky tarafından Şubat 2015’te yayınlanan bir rapora göre, tehdit aktörlerinin anadili Arapça olan ve Filistin, Mısır ve Türkiye’de yerleşik olduklarına inanılıyor. Daha önce kamuya açık raporlar, grubu Hamas’ın siber savaş bölümüyle ilişkilendirdi.
Nisan 2022’de hassas savunma, kolluk kuvvetleri ve acil servis kuruluşlarında çalışan yüksek profilli İsrailli kişilerin BarbWire adlı yeni bir Windows arka kapısı ile hedef alındığı gözlemlendi.
Grup tarafından düzenlenen saldırı dizileri, hedefleri cihazlarına kötü amaçlı yazılım yüklemeleri için cezbetmek için genellikle hedef odaklı kimlik avı e-postaları ve sahte sosyal kimlik bilgileri kullanır.
Symantec tarafından detaylandırılan en son saldırılar, kimlik bilgilerinin çalınmasına ve çalınan verilerin dışarı sızmasına girişmeden önce hedefleri aşmak için özel Micropsia ve Arid Gopher implantlarının güncellenmiş sürümlerinin kullanılmasını gerektiriyor.
Go programlama dilinde kodlanmış bir yürütülebilir dosya olan Arid Gopher, ilk olarak Mart 2022’de Deep Instinct tarafından belgelenen Micropsia kötü amaçlı yazılımının bir çeşididir. Kötü amaçlı yazılımın radarın altında kalmasına izin verdiği için Go’ya geçiş olağandışı değildir.
Micropsia, ikincil yükleri (Arid Gopher gibi) başlatma yeteneğinin yanı sıra, tuş vuruşlarını günlüğe kaydetmek, ekran görüntüleri almak ve özel bir Python tabanlı araç kullanarak Microsoft Office dosyalarını RAR arşivlerine kaydetmek için tasarlanmıştır.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Deep Instinct, “Arid Gopher, selefi Micropsia gibi, amacı bir dayanak noktası oluşturmak, hassas sistem bilgilerini toplamak ve bir C2 (komuta-kontrol) ağına geri göndermek olan bir bilgi hırsızı kötü amaçlı yazılımdır” dedi. zaman.
Symantec tarafından toplanan kanıtlar, Mantis’in erişimi sürdürmenin bir yolu olarak 18 Aralık 2022 ile 12 Ocak 2023 arasında üç farklı iş istasyonu setinde Micropsia ve Arid Gopher’ın üç farklı sürümünü dağıtmak için harekete geçtiğini gösteriyor.
Arid Gopher, saldırganların bir algılama kaçırma mekanizması olarak “varyantlar arasındaki mantığı agresif bir şekilde değiştirmesiyle” düzenli güncellemeler aldı ve tam kod yeniden yazımları aldı.
“Mantis, kapsamlı kötü amaçlı yazılımların yeniden yazılması ve tek bir kuruluşa yönelik saldırıları, tüm operasyonun gerçekleşme şansını azaltmak için birden çok ayrı diziye ayırma kararının da gösterdiği gibi, başarı şansını en üst düzeye çıkarmak için zaman ve çaba harcamaya istekli, kararlı bir düşman gibi görünüyor. algılandı,” diye tamamladı Symantec.