El actor de amenazas conocido como Víbora árida se ha observado utilizando variantes actualizadas de su kit de herramientas de malware en sus ataques dirigidos a entidades palestinas desde septiembre de 2022.
Symantec, que está rastreando al grupo bajo su nombre de insecto Mantis, dicho el adversario está “haciendo todo lo posible para mantener una presencia persistente en las redes objetivo”.
También conocido por los nombres APT-C-23 y Halcón del Desiertoel grupo de hackers ha estado vinculado a ataques dirigidos a Palestina y Medio Oriente al menos desde 2014.
Mantis ha utilizado un arsenal de herramientas de malware caseras como VíboraRataFrozenCell (también conocido como VolatileVenom) y Micropsia para ejecutar y ocultar sus campañas en las plataformas Windows, Android e iOS.
Se cree que los actores de la amenaza son hablantes nativos de árabe y tienen su base en Palestina, Egipto y Turquía, según un informe. informe publicado por Kaspersky en febrero de 2015. Informes públicos anteriores también han empató el grupo a la división de guerra cibernética de Hamás.
En abril de 2022, se observó que personas israelíes de alto perfil empleadas en organizaciones sensibles de defensa, aplicación de la ley y servicios de emergencia fueron atacadas con una nueva puerta trasera de Windows denominada BarbWire.
Las secuencias de ataque montadas por el grupo generalmente emplean correos electrónicos de phishing y credenciales sociales falsas para atraer a los objetivos para que instalen malware en sus dispositivos.
Los ataques más recientes detallados por Symantec implican el uso de versiones actualizadas de sus implantes personalizados Micropsia y Arid Gopher para violar objetivos antes de involucrarse en el robo de credenciales y la exfiltración de datos robados.
Arid Gopher, un ejecutable codificado en el lenguaje de programación Go, es una variante del malware Micropsia que fue documentado por primera vez por Deep Instinct en marzo de 2022. El cambio a Go no es inusual, ya que permite que el malware permanezca oculto.
Micropsia, junto con su capacidad para lanzar cargas útiles secundarias (como Arid Gopher), también está diseñado para registrar pulsaciones de teclas, tomar capturas de pantalla y guardar archivos de Microsoft Office dentro de archivos RAR para su extracción mediante una herramienta personalizada basada en Python.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
“Arid Gopher, al igual que su predecesor Micropsia, es un malware ladrón de información, cuya intención es establecer un punto de apoyo, recopilar información confidencial del sistema y enviarla de regreso a una red C2 (comando y control)”, Deep Instinct dicho En el momento.
La evidencia recopilada por Symantec muestra que Mantis se movió para implementar tres versiones distintas de Micropsia y Arid Gopher en tres conjuntos de estaciones de trabajo entre el 18 de diciembre de 2022 y el 12 de enero de 2023, como una forma de retener el acceso.
Arid Gopher, por su parte, ha recibido actualizaciones periódicas y reescrituras completas del código, con los atacantes “mutando agresivamente la lógica entre variantes” como mecanismo de evasión de detección.
“Mantis parece ser un adversario decidido, dispuesto a dedicar tiempo y esfuerzo para maximizar sus posibilidades de éxito, como lo demuestra la extensa reescritura de malware y su decisión de compartimentar los ataques contra organizaciones individuales en múltiples líneas separadas para reducir las posibilidades de que toda la operación sea detectado”, concluyó Symantec.