Un acteur menaçant pro-Hamas connu sous le nom de Cyber-gang de Gaza cible les entités palestiniennes en utilisant une version mise à jour d’une porte dérobée baptisée Pierogi.
Les résultats proviennent de SentinelOne, qui a donné au malware le nom de Pierogi++ en raison du fait qu’il est implémenté dans le langage de programmation C++ contrairement à son prédécesseur basé sur Delphi et Pascal.
« Les récentes activités du Cybergang à Gaza montrent un ciblage constant des entités palestiniennes, sans aucun changement significatif dans la dynamique depuis le début de la guerre entre Israël et le Hamas », a déclaré le chercheur en sécurité Aleksandar Milenkoski. dit dans un rapport partagé avec The Hacker News.
Gaza Cyber Gang, soupçonné d’être actif depuis au moins 2012, a l’habitude de frapper des cibles dans tout le Moyen-Orient, en particulier en Israël et en Palestine, en utilisant souvent le spear phishing comme méthode d’accès initial.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Certaines des familles de logiciels malveillants les plus notables arsenal inclure BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy et XtremeRAT, entre autres.
L’acteur malveillant est considéré comme un composé de plusieurs sous-groupes partageant des empreintes victimologiques et des logiciels malveillants qui se chevauchent, tels que Molerats, Arid Viper et un cluster appelé Opération Parlement par Kaspersky.
Ces derniers mois, le collectif antagoniste a été associé à une série d’attaques qui livrent des variantes improvisées de ses implants Micropsia et Arid Gopher ainsi qu’un nouveau téléchargeur à accès initial baptisé IronWind.
Il a été constaté que la dernière série d’intrusions organisées par Gaza Cyber Gang exploite Pierogi++ et Micropsia. La première utilisation enregistrée de Pierogi++ remonte à fin 2022.
Les chaînes d’attaques se caractérisent par l’utilisation de documents leurres rédigés en arabe ou en anglais et relatifs à des questions intéressant les Palestiniens pour ouvrir les portes dérobées.
Cybereason, qui a fait la lumière sur Pierogi en février 2020, décrit comme un implant qui permet aux attaquants d’espionner des victimes ciblées et que les « commandes utilisées pour communiquer avec le [command-and-control] les serveurs et autres chaînes du binaire sont écrits en ukrainien. «
« La porte dérobée a peut-être été obtenue dans des communautés clandestines plutôt que locales », évaluait-on à l’époque.
Pierogi et Pierogi++ sont tous deux équipés pour prendre des captures d’écran, exécuter des commandes et télécharger des fichiers fournis par les attaquants. Un autre aspect notable est que les artefacts mis à jour ne comportent plus de chaînes ukrainiennes dans le code.
L’enquête de SentinelOne sur les opérations du Gaza Cyber Gang a également révélé des liens tactiques entre deux campagnes disparates appelées Big Bang et Opération Bearded Barbie, en plus de renforcer les liens entre l’acteur menaçant et WIRTE, comme l’a précédemment révélé Kaspersky en novembre 2021.
Malgré l’attention soutenue accordée à la Palestine, la découverte de Pierogi++ souligne que le groupe continue d’affiner et de réorganiser ses logiciels malveillants pour garantir une compromission réussie des cibles et maintenir un accès persistant à leurs réseaux.
« Les chevauchements observés dans les ciblages et les similitudes des logiciels malveillants au sein des sous-groupes du Cybergang de Gaza après 2018 suggèrent que le groupe est probablement soumis à un processus de consolidation », a déclaré Milenkoski.
« Cela inclut éventuellement la création d’un centre interne de développement et de maintenance des logiciels malveillants et/ou la rationalisation de l’approvisionnement auprès de fournisseurs externes. »