Un actor amenazante pro-Hamás conocido como Banda cibernética de Gaza está apuntando a entidades palestinas utilizando una versión actualizada de una puerta trasera denominada Pierogi.
Los hallazgos provienen de SentinelOne, que le dio al malware el nombre Pierogi++ debido al hecho de que está implementado en el lenguaje de programación C++ a diferencia de su predecesor basado en Delphi y Pascal.
«Las recientes actividades de las Cybergang en Gaza muestran ataques constantes contra entidades palestinas, sin que se observen cambios significativos en la dinámica desde el inicio de la guerra entre Israel y Hamas», dijo el investigador de seguridad Aleksandar Milenkoski. dicho en un informe compartido con The Hacker News.
La banda cibernética de Gaza, que se cree activo desde al menos 2012, tiene un historial de ataques a objetivos en todo el Medio Oriente, particularmente Israel y Palestina, a menudo aprovechando el phishing como método de acceso inicial.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Algunas de las familias de malware notables en su arsenal incluir BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy y XtremeRAT, entre otros.
Se considera que el actor de la amenaza es una combinación de varios subgrupos que comparten huellas de victimología y malware superpuestos, como Molerats, Arid Viper y un grupo denominado Operación Parlamento por Kaspersky.
En los últimos meses, el colectivo adversario ha sido vinculado a una serie de ataques que entregan variantes improvisadas de sus implantes Micropsia y Arid Gopher, así como un nuevo descargador de acceso inicial denominado IronWind.
Se ha descubierto que el último conjunto de intrusiones organizadas por Gaza Cyber Gang aprovecha Pierogi++ y Micropsia. El primer uso registrado de Pierogi++ se remonta a finales de 2022.
Las cadenas de ataques se caracterizan por el uso de documentos señuelo escritos en árabe o inglés y relacionados con asuntos de interés para los palestinos para abrir las puertas traseras.
Cybereason, que arrojó luz sobre Pierogi en febrero de 2020, descrito como un implante que permite a los atacantes espiar a las víctimas objetivo y que los «comandos utilizados para comunicarse con el [command-and-control] Los servidores y otras cadenas en el binario están escritos en ucraniano.»
«La puerta trasera puede haber sido obtenida en comunidades clandestinas y no localmente», evaluó en ese momento.
Tanto Pierogi como Pierogi++ están equipados para tomar capturas de pantalla, ejecutar comandos y descargar archivos proporcionados por el atacante. Otro aspecto notable es que los artefactos actualizados ya no incluyen cadenas ucranianas en el código.
La investigación de SentinelOne sobre las operaciones de Gaza Cyber Gang también ha arrojado conexiones tácticas entre dos campañas dispares conocidas como Big Bang y Operación Barbie Barbuda, además de reforzar los vínculos entre el actor de amenazas y WIRTE, como reveló anteriormente Kaspersky en noviembre de 2021.
A pesar del enfoque sostenido en Palestina, el descubrimiento de Pierogi++ subraya que el grupo continúa refinando y reequipando su malware para garantizar el compromiso exitoso de los objetivos y mantener un acceso persistente a sus redes.
«Las superposiciones observadas en las similitudes de ataques y malware entre los subgrupos de Gaza Cybergang después de 2018 sugieren que el grupo probablemente haya estado atravesando un proceso de consolidación», dijo Milenkoski.
«Esto posiblemente incluya la formación de un centro interno de desarrollo y mantenimiento de malware y/o la racionalización del suministro de proveedores externos».