گروهی از مهاجمان حامی حماس که به نام Gaza Cybergang شناخته می شوند، از نوع جدیدی از بدافزار پشتی Pierogi++ برای حمله به اهداف فلسطینی و اسرائیلی استفاده می کنند.

مطابق با تحقیق از آزمایشگاه سنتینل، درب پشتی مبتنی بر زبان برنامه نویسی C++ است و در کمپین های بین سال های 2022 تا 2023 استفاده شده است. مهاجمان همچنین از میکروپسیا بدافزار در کمپین های هک اخیر در سراسر خاورمیانه.

الکساندر میلنکوسکی، محقق ارشد تهدیدات آزمایشگاه های سنتینل در این گزارش نوشت: «فعالیت های اخیر سایبرگ غزه نشان دهنده هدف قرار دادن مستمر نهادهای فلسطینی است، بدون اینکه تغییر قابل توجهی در پویایی از زمان آغاز جنگ اسرائیل و حماس مشاهده شود».

توزیع بدافزار

هکرها بدافزار Pierogi++ را با استفاده از فایل‌های آرشیو و اسناد مخرب Office که موضوعات فلسطینی را به دو زبان انگلیسی و عربی مورد بحث قرار می‌داد، توزیع کردند. اینها شامل مصنوعات ویندوز مانند وظایف برنامه ریزی شده و برنامه های کاربردی بود که شامل ماکروهای بدافزاری بود که برای گسترش درپشتی Pierogi++ طراحی شده بودند.

Milenkoski به Dark Reading می‌گوید که Cybergang غزه از حملات فیشینگ و تعاملات مبتنی بر رسانه‌های اجتماعی برای پخش فایل‌های مخرب استفاده می‌کند.

Milenkoski توضیح می‌دهد: «Pierogi++ که از طریق یک سند مخرب آفیس توزیع می‌شود، توسط یک ماکرو آفیس پس از باز کردن سند توسط کاربر، مستقر می‌شود. در مواردی که درب پشتی از طریق یک فایل بایگانی منتشر می‌شود، معمولاً خود را به عنوان یک سند با مضمون سیاسی در امور فلسطین استتار می‌کند و کاربر را فریب می‌دهد تا آن را از طریق یک عمل دوبار کلیک اجرا کند.»

بسیاری از اسناد از مضامین سیاسی برای اغوای قربانیان خود و اعدام در پشتی Pierogi++ استفاده می‌کردند، مانند: «وضعیت پناهندگان فلسطینی در پناهندگان سوریه در سوریه» و «وزارت امور دیوار و شهرک‌سازی که توسط دولت فلسطین تأسیس شده است».

پیروگی اصلی

این نوع بدافزار جدید یک نسخه به روز شده از درپشتی Pierogi است که محققان در Cybereason شناسایی نزدیک به پنج سال پیش

آن محققان درپشتی را به عنوان امکان جاسوسی مهاجمان از قربانیان هدف را با استفاده از مهندسی اجتماعی و اسناد جعلی توصیف کردند که اغلب بر اساس موضوعات سیاسی مربوط به دولت فلسطین، مصر، حزب الله و ایران است.

تفاوت اصلی بین درب پشتی اصلی Pierogi و نوع جدیدتر این است که اولی از زبان های برنامه نویسی دلفی و پاسکال استفاده می کند در حالی که دومی از C++ استفاده می کند.

انواع قدیمی‌تر این درب پشتی نیز از دستورات درب پشتی اوکراینی 'vydalyty'، 'Zavantazhyty' و 'Ekspertyza' استفاده می‌کردند. Pierogi++ از رشته های انگلیسی «دانلود» و «صفحه نمایش» استفاده می کند.

استفاده از زبان اوکراینی در نسخه‌های قبلی Pierogi ممکن است دخالت خارجی در ایجاد و توزیع درب پشتی را نشان دهد، اما Sentinel Labs معتقد نیست که این مورد برای Pierogi++ باشد.

آزمایشگاه Sentinel مشاهده کرد که هر دو نوع با وجود برخی تفاوت ها شباهت های کدگذاری و عملکردی دارند. اینها شامل اسناد جعلی یکسان، تاکتیک‌های شناسایی و رشته‌های بدافزار است. به عنوان مثال، هکرها می توانند از هر دو درب پشتی برای اسکرین شات، دانلود فایل ها و اجرای دستورات استفاده کنند.

محققان گفتند Pierogi++ دلیلی بر این امر است که Gaza Cybergang در حال تقویت «نگهداری و نوآوری» بدافزار خود در تلاش برای «افزایش قابلیت‌های آن و فرار از شناسایی بر اساس ویژگی‌های بدافزار شناخته شده» است.

هیچ فعالیت جدیدی از اکتبر وجود ندارد

در حالی که سایبرنگ غزه از سال 2012 قربانیان فلسطینی و اسرائیلی را در کمپین های عمدتاً «جمع آوری اطلاعات و جاسوسی» هدف قرار داده است، این گروه از زمان آغاز درگیری غزه در ماه اکتبر، حجم اولیه فعالیت خود را افزایش نداده است. میلنکوسکی می گوید که این گروه در چند سال گذشته به طور مداوم «نهادها و افراد عمدتاً اسرائیلی و فلسطینی» را هدف قرار داده است.

Sentinel Labs اشاره کرد که این باند شامل چندین "گروه فرعی مجاور" است که در پنج سال گذشته تکنیک ها، فرآیندها و بدافزارها را به اشتراک گذاشته اند.

«اینها شامل گروه 1 سایبرگ غزه است (مولراتس، گروه 2 غزه Cybergang (افعی خشک، Desert Falcons، APT-C-23)، و غزه Cybergang Group 3 (گروه پشت سر عملیات پارلمانمحققان گفتند.

اگرچه غزه Cybergang بیش از یک دهه است که در خاورمیانه فعال است، مکان فیزیکی دقیق هکرهای آن هنوز مشخص نیست. با این حال، بر اساس اطلاعات قبلی، میلنکوسکی معتقد است که آنها احتمالاً در سراسر جهان عرب زبان در مکان هایی مانند مصر، فلسطین و مراکش پراکنده هستند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets