Molerats Hacker kehren mit neuen Angriffen auf Regierungen im Nahen Osten zurück

Cyber Security News

Eine APT-Gruppe (Advanced Persistent Threat) aus dem Nahen Osten ist nach einer zweimonatigen Unterbrechung wieder aufgetaucht, um in einer Reihe von neuen Kampagnen, die Anfang des Monats beobachtet wurden, Regierungsinstitutionen im Nahen Osten und globale Regierungsstellen, die mit der Geopolitik in der Region in Verbindung stehen, anzugreifen.

Das in Sunnyvale ansässige Unternehmenssicherheitsunternehmen Proofpoint führt die Aktivitäten auf einen politisch motivierten Bedrohungsakteur zurück, den es als TA402 verfolgt und der unter anderen Namen wie Molerats und GazaHackerTeam bekannt ist.

Man geht davon aus, dass der Bedrohungsakteur seit einem Jahrzehnt aktiv ist und in der Vergangenheit vor allem Organisationen in Israel und Palästina angegriffen hat, und zwar in verschiedenen Bereichen wie Technologie, Telekommunikation, Finanzen, Wissenschaft, Militär, Medien und Regierungen.

[Blocked Image: https://thehackernews.com/imag…YHQ/s300-e100/1-300-4.png]

Die jüngste Angriffswelle begann mit Spear-Phishing-E-Mails, die in arabischer Sprache verfasst waren und PDF-Anhänge enthielten, die mit einer bösartigen geofenced URL eingebettet waren, um die Opfer nur dann selektiv zu einem passwortgeschützten Archiv zu leiten, wenn die Quell-IP-Adresse zu den Zielländern im Nahen Osten gehört.

Empfänger, die nicht zur Zielgruppe gehören, werden auf eine gutartige Täuschungs-Website umgeleitet, typischerweise arabischsprachige Nachrichten-Websites wie Al Akhbar (http://www.al-akhbar.com) und Al Jazeera (http://www.aljazeera.net).

[Blocked Image: https://thehackernews.com/imag…HQ/s728-e1000/hacking.jpg]

“Der Passwortschutz des bösartigen Archivs und die geofenced Liefermethode sind zwei einfache Anti-Erkennungsmechanismen, die Bedrohungsakteure nutzen können, um automatische Analyseprodukte zu umgehen”, so die Forscher.

Der letzte Schritt in der Infektionskette bestand darin, das Archiv zu extrahieren, um ein benutzerdefiniertes Implantat namens LastConn abzuwerfen. Laut Proofpoint handelt es sich dabei um eine aktualisierte oder neue Version einer Backdoor namens SharpStage, die von Cybereason-Forschern im Dezember 2020 als Teil einer Molerats-Spionagekampagne für den Nahen Osten aufgedeckt wurde.

[Blocked Image: https://thehackernews.com/imag…8-e100/privileged_728.jpg]

Neben der Display eines Täuschungsdokuments, wenn LastConn zum ersten Mal ausgeführt wird, verlässt sich die Malware stark auf die Dropbox-API, um Dateien, die auf dem Cloud-Dienst gehostet werden, herunterzuladen und auszuführen. Darüber hinaus werden beliebige Befehle ausgeführt und Screenshots aufgenommen, deren Ergebnisse anschließend zurück zu Dropbox exfiltriert werden.

Das sich ständig weiterentwickelnde Toolset von TA402 unterstreicht, dass sich die Gruppe weiterhin auf die Entwicklung und Modifizierung von angepassten Malware-Implantaten konzentriert, um Abwehrmaßnahmen zu umgehen und die Erkennung zu vereiteln.

“TA402 ist ein äußerst effektiver und fähiger Bedrohungsakteur, der weiterhin eine ernsthafte Bedrohung darstellt, insbesondere für Einrichtungen, die im Nahen Osten mit Regierungen oder anderen geopolitischen Einrichtungen zusammenarbeiten”, so die Forscher. “Es ist wahrscheinlich, dass TA402 sein Ziel weiterhin hauptsächlich auf die Region des Nahen Ostens konzentriert.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com