Hamas-verbundene Hacker zielen auf hochrangige Israelis mit „Catfish“-Ködern

  • Ein Bedrohungsakteur mit Verbindungen zur Cyberwar-Abteilung der Hamas wurde mit einer „ausgeklügelten Kampagne“ in Verbindung gebracht, die auf hochrangige israelische Personen abzielte, die in sensiblen Verteidigungs-, Strafverfolgungs- und Notdienstorganisationen beschäftigt sind.

    „Die Betreiber der Kampagne verwenden ausgefeilte Social-Engineering-Techniken, die letztlich darauf abzielen, bisher nicht dokumentierte Hintertüren für Windows- und Android-Geräte bereitzustellen“, so das Cybersicherheitsunternehmen Cybereason in einem Bericht vom Mittwoch.

    „Das Ziel hinter dem Angriff war es, sensible Informationen von den Geräten der Opfer zu Spionagezwecken zu extrahieren.“

    Die monatelangen Einbrüche mit dem Codenamen „Operation Bearded Barbie“ werden einer arabischsprachigen und politisch motivierten Gruppe namens Arid Viper zugeschrieben, die vom Nahen Osten aus operiert und auch unter den Namen APT-C-23 und Desert Falcon bekannt ist.

    [Blocked Image: https://thehackernews.com/images/-SmHk9U6ikBk/YVHUUpxrNfI/AAAAAAAA4ac/xluSCU7878ErhlmIN9mj9pKf9fr3LTBwACLcBGAsYHQ/s300-e100/rewind-3-300.png]

    Zuletzt wurde der Bedrohungsakteur für Angriffe auf palästinensische Aktivisten und Einrichtungen ab Oktober 2021 verantwortlich gemacht, bei denen er Phishing-E-Mails mit politischem Inhalt und gefälschte Dokumente verwendete.

    Die jüngsten Infiltrationen zeichnen sich dadurch aus, dass sie speziell darauf abzielen, Informationen von Computern und Mobilgeräten israelischer Bürger zu erbeuten, indem sie diese dazu verleiten, trojanisierte Messaging-Apps herunterzuladen, die den Akteuren ungehinderten Zugang gewähren.

    Bei den Social-Engineering-Angriffen wurden gefälschte Personas auf Facebook verwendet, die sich auf die Taktik des Catfishing stützten, um fiktive Profile attraktiver junger Frauen einzurichten, um das Vertrauen der Zielpersonen zu gewinnen und sich mit ihnen auf der Plattform anzufreunden.

    „Nachdem er das Vertrauen des Opfers gewonnen hat, schlägt der Betreiber des gefälschten Kontos vor, die Konversation von Facebook zu WhatsApp zu verlagern“, so die Forscher weiter. „Auf diese Weise gelangt der Betreiber schnell an die Handynummer der Zielperson.“

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjPh_rZcZjjuDCoCi1065ie5POVHuYo2irT0wkNoeGQhpPisXsXg_vT07lU0mzJ9lpAb2MyQU4ZDVu32ussnVWAbQwEeEbFgkHLScE5ls10i-RFwgzmyhbq93MxPmFfSIxr8tTtHK1xDLqbLTLS8EJTDbBtegOcN0Dn5xvdXSUa78rMKvky19zyPhfp/s728-e100/malwar.jpg]

    Sobald der Chat von Facebook zu WhatsApp wechselt, schlagen die Angreifer den Opfern vor, eine sichere Messaging-App für Android (mit dem Namen „VolatileVenom“) zu installieren und eine RAR-Archivdatei mit explizitem sexuellem Inhalt zu öffnen, die zum Einsatz eines Malware-Downloaders namens Barb(ie) führt.

    Zu den weiteren Merkmalen der Kampagne gehört, dass die Gruppe ein erweitertes Arsenal an Malware-Tools einsetzt, darunter die BarbWire-Backdoor, die durch das Downloader-Modul installiert wird.

    Die Malware dient als Werkzeug, um den Computer des Opfers vollständig zu kompromittieren, so dass sie sich festsetzen, gespeicherte Informationen auslesen, Audiodaten aufzeichnen, Screenshots erfassen und zusätzliche Nutzdaten herunterladen kann, die alle an einen Remote-Server übertragen werden.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjaTgAp88VhU4VFlJ_PU8VQX15i_tz3jK4y0rAjaZ920ivKIKwWzBoxVCYtFnVvihCwzEx-6YUNHTO_TveW-zxlJMumYjrnkYbfht6Q6xP-BITctZ1yZAtrMceEcvDaTkybWCLGZm3GvobVHOljShT4hAzHzLosChAtVt7TzWTInUk3HS-pJ1ypa0srkw=s728-e100]

    VolatileVenom hingegen ist eine Android-Spyware, die dafür bekannt ist, legitime Messaging-Apps zu fälschen und sich als System-Updates auszugeben, und die seit mindestens 2017 in verschiedenen Kampagnen von Arid Viper eingesetzt wird.

    Ein Beispiel für eine solche bösartige Android-App ist „Wink Chat“, bei der Opfer, die versuchen, sich für die Anwendung anzumelden, eine Fehlermeldung erhalten, die besagt, dass „die Anwendung deinstalliert wird“, nur um dann heimlich im Hintergrund zu laufen und eine Vielzahl von Daten von den Mobilgeräten zu extrahieren.

    „Die Angreifer verwenden eine völlig neue Infrastruktur, die sich von der bekannten Infrastruktur unterscheidet, mit der Palästinenser und andere Arabisch sprechende Menschen angegriffen werden“, so die Forscher.

    „Diese Kampagne zeigt eine beträchtliche Steigerung der Fähigkeiten von APT-C-23, mit verbesserter Tarnung, ausgefeilterer Malware und Perfektionierung ihrer Social-Engineering-Techniken, die offensive HUMINT-Fähigkeiten unter Verwendung eines sehr aktiven und gut gepflegten Netzwerks von gefälschten Facebook-Konten beinhalten, die sich für die Gruppe als recht effektiv erwiesen haben.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com