L’acteur menaçant connu sous le nom de Vipère aride a été observé en train d’utiliser des variantes actualisées de sa boîte à outils de logiciels malveillants dans ses attaques ciblant des entités palestiniennes depuis septembre 2022.
Symantec, qui suit le groupe sous son surnom Mantis, sur le thème des insectes, a dit l’adversaire « fait de grands efforts pour maintenir une présence persistante sur les réseaux ciblés ».
Aussi connu sous les noms APT-C-23 et Desert Falconle groupe de piratage est lié à des attaques visant la Palestine et le Moyen-Orient au moins depuis 2014.
Mantis a utilisé un arsenal d’outils malveillants maison tels que VipèreRatFrozenCell (alias VolatileVenom) et Micropsia pour exécuter et dissimuler ses campagnes sur les plateformes Windows, Android et iOS.
Les acteurs de la menace seraient de langue maternelle arabe et basés en Palestine, en Égypte et en Turquie, selon un rapport publié par Kaspersky en février 2015. Les rapports publics antérieurs ont également lié le groupe à la division cyberguerre du Hamas.
En avril 2022, des individus israéliens de haut niveau employés dans des organisations sensibles de défense, d’application de la loi et de services d’urgence ont été observés ciblés par une nouvelle porte dérobée Windows baptisée BarbWire.
Les séquences d’attaque montées par le groupe utilisent généralement des e-mails de harponnage et de fausses informations d’identification sociales pour inciter les cibles à installer des logiciels malveillants sur leurs appareils.
Les attaques les plus récentes détaillées par Symantec impliquent l’utilisation de versions mises à jour de ses implants personnalisés Micropsia et Arid Gopher pour violer des cibles avant de se livrer au vol d’informations d’identification et à l’exfiltration de données volées.
Arid Gopher, un exécutable codé dans le langage de programmation Go, est une variante du malware Micropsia qui a été d’abord documenté par Deep Instinct en mars 2022. Le passage à Go n’est pas inhabituel car il permet au malware de rester sous le radar.
Micropsia, en plus de sa capacité à lancer des charges utiles secondaires (comme Arid Gopher), est également conçu pour enregistrer les frappes au clavier, prendre des captures d’écran et enregistrer les fichiers Microsoft Office dans les archives RAR pour l’exfiltration à l’aide d’un outil basé sur Python sur mesure.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
« Arid Gopher, comme son prédécesseur Micropsia, est un malware voleur d’informations, dont l’intention est de s’implanter, de collecter des informations système sensibles et de les renvoyer à un réseau C2 (commande et contrôle) », Deep Instinct a dit à l’époque.
Les preuves recueillies par Symantec montrent que Mantis a décidé de déployer trois versions distinctes de Micropsia et Arid Gopher sur trois ensembles de postes de travail entre le 18 décembre 2022 et le 12 janvier 2023, afin de conserver l’accès.
Arid Gopher, pour sa part, a reçu des mises à jour régulières et des réécritures complètes de code, les attaquants « mutant agressivement la logique entre les variantes » comme mécanisme d’évasion de la détection.
« Mantis semble être un adversaire déterminé, prêt à consacrer du temps et des efforts pour maximiser ses chances de succès, comme en témoignent la réécriture extensive des logiciels malveillants et sa décision de compartimenter les attaques contre des organisations uniques en plusieurs volets distincts afin de réduire les chances que l’ensemble de l’opération soit détecté », a conclu Symantec.