Gazze Siber Çetesi olarak bilinen Hamas yanlısı saldırganlardan oluşan bir grup, Filistinli ve İsrailli hedeflere saldırı başlatmak için Pierogi++ arka kapı kötü amaçlı yazılımının yeni bir versiyonunu kullanıyor.
Buna göre Sentinel Labs’ın araştırmasıarka kapı C++ programlama dilini temel alıyor ve 2022 ile 2023 yılları arasındaki kampanyalarda kullanıldı. Saldırganlar aynı zamanda C++ programlama dilini de kullanıyor. Mikropsi Orta Doğu’daki son bilgisayar korsanlığı kampanyalarında kötü amaçlı yazılımlar ortaya çıktı.
Sentinel Labs kıdemli tehdit araştırmacısı Aleksandar Milenkoski raporda, “Son Gazze Siber Çetesi faaliyetleri, İsrail-Hamas savaşının başlangıcından bu yana dinamiklerde hiçbir önemli değişiklik gözlemlenmeden, Filistinli varlıkların tutarlı bir şekilde hedef alındığını gösteriyor” diye yazdı.
Kötü Amaçlı Yazılımın Dağıtılması
Bilgisayar korsanları, Pierogi++ kötü amaçlı yazılımını arşiv dosyalarını ve Filistin konularını hem İngilizce hem de Arapça tartışan kötü amaçlı Office belgelerini kullanarak dağıttı. Bunlar, Pierogi++ arka kapısını yaymak için tasarlanmış kötü amaçlı yazılım yüklü makroları içeren zamanlanmış görevler ve yardımcı uygulamalar gibi Windows yapıtlarını içeriyordu.
Milenkoski, Dark Reading’e Gazze Siber Çetesinin kötü amaçlı dosyaları dağıtmak için kimlik avı saldırıları ve sosyal medya tabanlı müdahaleler kullandığını söyledi.
Milenkoski, “Kötü amaçlı bir Office belgesi aracılığıyla dağıtılan Pierogi++, kullanıcının belgeyi açması üzerine bir Office makrosu tarafından dağıtılıyor” diye açıklıyor. “Arka kapının bir arşiv dosyası yoluyla yayıldığı durumlarda, genellikle kendisini Filistin meseleleriyle ilgili siyasi temalı bir belge olarak kamufle eder ve kullanıcıyı onu çift tıklama eylemiyle yürütmeye kandırır.”
Belgelerin çoğu, kurbanlarını cezbetmek ve Pierogi++ arka kapısını uygulamak için siyasi temalar kullanıyordu; örneğin: “Suriye’deki Filistinli mültecilerin durumu” ve “Filistin hükümeti tarafından kurulan Duvar ve Yerleşim İşlerinden Sorumlu Devlet Bakanlığı.”
Orijinal Pierogi
Bu yeni kötü amaçlı yazılım türü, Cybereason’daki araştırmacıların Pierogi arka kapısının güncellenmiş bir versiyonudur. tanımlanmış neredeyse beş yıl önce.
Bu araştırmacılar, arka kapıyı, genellikle Filistin hükümeti, Mısır, Hizbullah ve İran ile ilgili siyasi konulara dayanan sosyal mühendislik ve sahte belgeler kullanarak “saldırganların hedeflenen kurbanlar hakkında casusluk yapmasına” olanak sağladığını açıkladı.
Orijinal Pierogi arka kapısı ile daha yeni varyant arasındaki temel fark, ilkinin Delphi ve Pascal programlama dillerini kullanması, ikincisinin ise C++ kullanmasıdır.
Bu arka kapının daha eski varyasyonları aynı zamanda Ukraynaca arka kapı komutları ‘vydalyty’, ‘Zavantazhyty’ ve ‘Ekspertyza’yı da kullanıyordu. Pierogi++ İngilizce ‘download’ ve ‘screen’ dizelerini kullanır.
Pierogi’nin önceki sürümlerinde Ukrayna dilinin kullanılması, arka kapının oluşturulması ve dağıtımında dışarıdan müdahaleyi akla getiriyor olabilir, ancak Sentinel Labs, Pierogi++ için durumun böyle olduğuna inanmıyor.
Sentinel Labs, bazı farklılıklara rağmen her iki varyantın da kodlama ve işlevsellik benzerliklerine sahip olduğunu gözlemledi. Bunlar arasında birbirinin aynısı sahte belgeler, keşif taktikleri ve kötü amaçlı yazılım dizeleri yer alır. Örneğin, bilgisayar korsanları ekran görüntüsü almak, dosya indirmek ve komutları yürütmek için her iki arka kapıyı da kullanabilir.
Araştırmacılar, Pierogi++’ın, Gaza Cybergang’ın “yeteneklerini geliştirmek ve bilinen kötü amaçlı yazılım özelliklerine dayalı tespitten kaçınmak” amacıyla kötü amaçlı yazılımının “bakımını ve yeniliğini” desteklediğinin kanıtı olduğunu söyledi.
Ekimden Bu Yana Yeni Etkinlik Yok
Gazze Cybergang, 2012’den bu yana ağırlıklı olarak “istihbarat toplama ve casusluk” kampanyalarıyla Filistinli ve İsrailli kurbanları hedef alırken, grup, Ekim ayında Gazze çatışmasının başlamasından bu yana temel faaliyet hacmini artırmadı. Milenkoski, grubun son birkaç yıldır sürekli olarak “öncelikle İsrailli ve Filistinli varlık ve bireyleri” hedef aldığını söyledi.
Sentinel Labs, çetenin son beş yıldır teknikleri, süreçleri ve kötü amaçlı yazılımları paylaşan birkaç “bitişik alt gruptan” oluştuğunu belirtti.
“Bunlar arasında Gazze Siber Çete Grubu 1 (Moleratlar), Gazze Siber Çete Grubu 2 (Kurak EngerekDesert Falcons, APT-C-23) ve Gaza Cybergang Group 3 (arkasındaki grup) Parlamento Operasyonu),” dedi araştırmacılar.
Her ne kadar Gaza Cybergang Orta Doğu’da on yılı aşkın bir süredir aktif olsa da, hackerların tam fiziksel konumu hala bilinmiyor. Ancak daha önceki istihbaratlara dayanarak Milenkoski bunların Arapça konuşulan dünyada Mısır, Filistin ve Fas gibi yerlere dağılmış olma ihtimalinin yüksek olduğuna inanıyor.