گروهی از مهاجمان حامی حماس که به نام Gaza Cybergang شناخته می شوند، از نوع جدیدی از بدافزار پشتی Pierogi++ برای حمله به اهداف فلسطینی و اسرائیلی استفاده می کنند.
مطابق با تحقیق از آزمایشگاه سنتینل، درب پشتی مبتنی بر زبان برنامه نویسی C++ است و در کمپین های بین سال های 2022 تا 2023 استفاده شده است. مهاجمان همچنین از میکروپسیا بدافزار در کمپین های هک اخیر در سراسر خاورمیانه.
الکساندر میلنکوسکی، محقق ارشد تهدیدات آزمایشگاه های سنتینل در این گزارش نوشت: «فعالیت های اخیر سایبرگ غزه نشان دهنده هدف قرار دادن مستمر نهادهای فلسطینی است، بدون اینکه تغییر قابل توجهی در پویایی از زمان آغاز جنگ اسرائیل و حماس مشاهده شود».
توزیع بدافزار
هکرها بدافزار Pierogi++ را با استفاده از فایلهای آرشیو و اسناد مخرب Office که موضوعات فلسطینی را به دو زبان انگلیسی و عربی مورد بحث قرار میداد، توزیع کردند. اینها شامل مصنوعات ویندوز مانند وظایف برنامه ریزی شده و برنامه های کاربردی بود که شامل ماکروهای بدافزاری بود که برای گسترش درپشتی Pierogi++ طراحی شده بودند.
Milenkoski به Dark Reading میگوید که Cybergang غزه از حملات فیشینگ و تعاملات مبتنی بر رسانههای اجتماعی برای پخش فایلهای مخرب استفاده میکند.
Milenkoski توضیح میدهد: «Pierogi++ که از طریق یک سند مخرب آفیس توزیع میشود، توسط یک ماکرو آفیس پس از باز کردن سند توسط کاربر، مستقر میشود. در مواردی که درب پشتی از طریق یک فایل بایگانی منتشر میشود، معمولاً خود را به عنوان یک سند با مضمون سیاسی در امور فلسطین استتار میکند و کاربر را فریب میدهد تا آن را از طریق یک عمل دوبار کلیک اجرا کند.»
بسیاری از اسناد از مضامین سیاسی برای اغوای قربانیان خود و اعدام در پشتی Pierogi++ استفاده میکردند، مانند: «وضعیت پناهندگان فلسطینی در پناهندگان سوریه در سوریه» و «وزارت امور دیوار و شهرکسازی که توسط دولت فلسطین تأسیس شده است».
پیروگی اصلی
این نوع بدافزار جدید یک نسخه به روز شده از درپشتی Pierogi است که محققان در Cybereason شناسایی نزدیک به پنج سال پیش
آن محققان درپشتی را به عنوان امکان جاسوسی مهاجمان از قربانیان هدف را با استفاده از مهندسی اجتماعی و اسناد جعلی توصیف کردند که اغلب بر اساس موضوعات سیاسی مربوط به دولت فلسطین، مصر، حزب الله و ایران است.
تفاوت اصلی بین درب پشتی اصلی Pierogi و نوع جدیدتر این است که اولی از زبان های برنامه نویسی دلفی و پاسکال استفاده می کند در حالی که دومی از C++ استفاده می کند.
انواع قدیمیتر این درب پشتی نیز از دستورات درب پشتی اوکراینی 'vydalyty'، 'Zavantazhyty' و 'Ekspertyza' استفاده میکردند. Pierogi++ از رشته های انگلیسی «دانلود» و «صفحه نمایش» استفاده می کند.
استفاده از زبان اوکراینی در نسخههای قبلی Pierogi ممکن است دخالت خارجی در ایجاد و توزیع درب پشتی را نشان دهد، اما Sentinel Labs معتقد نیست که این مورد برای Pierogi++ باشد.
آزمایشگاه Sentinel مشاهده کرد که هر دو نوع با وجود برخی تفاوت ها شباهت های کدگذاری و عملکردی دارند. اینها شامل اسناد جعلی یکسان، تاکتیکهای شناسایی و رشتههای بدافزار است. به عنوان مثال، هکرها می توانند از هر دو درب پشتی برای اسکرین شات، دانلود فایل ها و اجرای دستورات استفاده کنند.
محققان گفتند Pierogi++ دلیلی بر این امر است که Gaza Cybergang در حال تقویت «نگهداری و نوآوری» بدافزار خود در تلاش برای «افزایش قابلیتهای آن و فرار از شناسایی بر اساس ویژگیهای بدافزار شناخته شده» است.
هیچ فعالیت جدیدی از اکتبر وجود ندارد
در حالی که سایبرنگ غزه از سال 2012 قربانیان فلسطینی و اسرائیلی را در کمپین های عمدتاً «جمع آوری اطلاعات و جاسوسی» هدف قرار داده است، این گروه از زمان آغاز درگیری غزه در ماه اکتبر، حجم اولیه فعالیت خود را افزایش نداده است. میلنکوسکی می گوید که این گروه در چند سال گذشته به طور مداوم «نهادها و افراد عمدتاً اسرائیلی و فلسطینی» را هدف قرار داده است.
Sentinel Labs اشاره کرد که این باند شامل چندین "گروه فرعی مجاور" است که در پنج سال گذشته تکنیک ها، فرآیندها و بدافزارها را به اشتراک گذاشته اند.
«اینها شامل گروه 1 سایبرگ غزه است (مولراتس، گروه 2 غزه Cybergang (افعی خشک، Desert Falcons، APT-C-23)، و غزه Cybergang Group 3 (گروه پشت سر عملیات پارلمانمحققان گفتند.
اگرچه غزه Cybergang بیش از یک دهه است که در خاورمیانه فعال است، مکان فیزیکی دقیق هکرهای آن هنوز مشخص نیست. با این حال، بر اساس اطلاعات قبلی، میلنکوسکی معتقد است که آنها احتمالاً در سراسر جهان عرب زبان در مکان هایی مانند مصر، فلسطین و مراکش پراکنده هستند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets