Gazze Siber Çetesinin Filistinli Varlıkları Hedef Alan Yeni Pierogi++ Kötü Amaçlı Yazılımı
Gazze Siber Çetesi olarak bilinen Hamas yanlısı bir tehdit aktörü, Pierogi adlı bir arka kapının güncellenmiş bir versiyonunu kullanarak Filistinli varlıkları hedef alıyor.
Bulgular, Delphi ve Pascal tabanlı selefinden farklı olarak C++ programlama dilinde uygulandığı için kötü amaçlı yazılıma Pierogi++ adını veren SentinelOne'dan geliyor.
Güvenlik araştırmacısı Aleksandar Milenkoski, The Hacker News ile paylaşılan bir raporda, "Son Gazze Siber Çetesi faaliyetleri, İsrail-Hamas savaşının başlamasından bu yana dinamiklerde önemli bir değişiklik gözlemlenmeden, Filistinli varlıkların tutarlı bir şekilde hedef alındığını gösteriyor" dedi.
En az 2012'den beri aktif olduğuna inanılan Gazze Siber Çetesi, Orta Doğu'da, özellikle İsrail ve Filistin'de hedefleri vurma geçmişine sahiptir ve genellikle ilk erişim yöntemi olarak hedef odaklı kimlik avından yararlanmaktadır.
Cephaneliğindeki dikkate değer kötü amaçlı yazılım ailelerinden bazıları arasında BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy ve XtremeRAT bulunur.
Tehdit aktörünün, Molerats, Arid Viper ve Kaspersky tarafından Operation Parliament olarak adlandırılan bir küme gibi örtüşen kurban ayak izlerini ve kötü amaçlı yazılımları paylaşan birkaç alt grubun bir bileşimi olduğu değerlendiriliyor.
Son aylarda, muhalif kolektif, Micropsia ve Arid Gopher implantlarının doğaçlama varyantlarının yanı sıra IronWind adlı yeni bir ilk erişim indiricisi sunan bir dizi saldırıyla ilişkilendirildi.
Gazze Siber Çetesi tarafından gerçekleştirilen en son saldırı setinin Pierogi++ ve Micropsia'dan yararlandığı tespit edildi. Pierogi++'ın ilk kaydedilen kullanımı 2022'nin sonlarına kadar uzanıyor.
Saldırı zincirleri, arka kapıları teslim etmek için Arapça veya İngilizce yazılmış ve Filistinlileri ilgilendiren konularla ilgili sahte belgelerin kullanılmasıyla karakterize edilir.
Şubat 2020'de Pierogi'ye ışık tutan Cybereason, bunu saldırganların hedeflenen kurbanları gözetlemesine izin veren bir implant olarak nitelendirdi ve "[komuta ve kontrol] sunucuları ve ikilideki diğer dizelerle iletişim kurmak için kullanılan komutların Ukraynaca yazıldığını" söyledi.
"Arka kapı, evde yetiştirilmek yerine yeraltı topluluklarında elde edilmiş olabilir" diye değerlendirdi.
Hem Pierogi hem de Pierogi++, ekran görüntüsü almak, komutları yürütmek ve saldırgan tarafından sağlanan dosyaları indirmek için donatılmıştır. Dikkate değer bir diğer husus, güncellenen eserlerin artık kodda herhangi bir Ukraynaca dize içermemesidir.
SentinelOne'ın Gazze Siber Çetesi'nin operasyonlarına yönelik soruşturması, daha önce Kaspersky tarafından Kasım 2021'de açıklandığı gibi, tehdit aktörü ile WIRTE arasındaki bağları güçlendirmenin yanı sıra Big Bang ve Sakallı Barbie Operasyonu olarak adlandırılan iki farklı kampanya arasında taktiksel bağlantılar da ortaya çıkardı.
Filistin'e sürekli odaklanılmasına rağmen, Pierogi++'ın keşfi, grubun hedeflerin başarılı bir şekilde ele geçirilmesini sağlamak ve ağlarına kalıcı erişimi sürdürmek için kötü amaçlı yazılımlarını iyileştirmeye ve yeniden düzenlemeye devam ettiğinin altını çiziyor.
Milenkoski, "2018'den sonra Gazze Siber Çetesi alt grupları arasında hedefleme ve kötü amaçlı yazılım benzerliklerinde gözlemlenen örtüşmeler, grubun muhtemelen bir konsolidasyon sürecinden geçtiğini gösteriyor" dedi.
"Bu muhtemelen dahili bir kötü amaçlı yazılım geliştirme ve bakım merkezinin oluşturulmasını ve/veya harici satıcılardan tedarikin kolaylaştırılmasını içerir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı