Olarak bilinen tehdit aktörü Kurak Engerek Eylül 2022’den bu yana Filistin varlıklarını hedef alan saldırılarında kötü amaçlı yazılım araç setinin yenilenmiş varyantlarını kullandığı gözlemlendi.
Grubu böcek temalı lakabı Mantis altında takip eden Symantec, söz konusu düşman, “hedeflenen ağlarda kalıcı bir varlığı sürdürmek için büyük çaba sarf edecek.”
İsimlerle de bilinir APT-C-23 ve Çöl ŞahiniHacking grubu, en azından 2014’ten beri Filistin ve Orta Doğu’yu hedef alan saldırılarla bağlantılı.
Mantis, aşağıdakiler gibi ev yapımı kötü amaçlı yazılım araçlarından oluşan bir cephanelik kullandı: Engerek SıçanFrozenCell (diğer adıyla VolatileVenom) ve Micropsia, kampanyalarını Windows, Android ve iOS platformlarında yürütmek ve gizlemek için.
Tehdit aktörlerinin anadili Arapça olan ve Filistin, Mısır ve Türkiye merkezli olduğuna inanılıyor. rapor Kaspersky tarafından Şubat 2015’te yayınlandı. grubu bağladı Hamas’ın siber savaş birimine.
Nisan 2022’de hassas savunma, kolluk kuvvetleri ve acil servis kuruluşlarında çalışan yüksek profilli İsrailli kişilerin BarbWire adlı yeni bir Windows arka kapısı ile hedef alındığı gözlemlendi.
Grup tarafından düzenlenen saldırı dizileri, hedefleri cihazlarına kötü amaçlı yazılım yüklemeleri için cezbetmek için genellikle hedef odaklı kimlik avı e-postaları ve sahte sosyal kimlik bilgileri kullanır.
Symantec tarafından detaylandırılan en son saldırılar, kimlik bilgilerinin çalınmasına ve çalınan verilerin dışarı sızmasına girişmeden önce hedefleri aşmak için özel Micropsia ve Arid Gopher implantlarının güncellenmiş sürümlerinin kullanılmasını gerektiriyor.
Go programlama dilinde kodlanmış bir yürütülebilir dosya olan Arid Gopher, Micropsia kötü amaçlı yazılımının bir çeşididir. ilk belgelenmiş Mart 2022’de Deep Instinct tarafından. Kötü amaçlı yazılımın gözden uzak kalmasına izin verdiği için Go’ya geçiş alışılmadık bir durum değil.
Micropsia, ikincil yükleri (Arid Gopher gibi) başlatma yeteneğinin yanı sıra, tuş vuruşlarını günlüğe kaydetmek, ekran görüntüleri almak ve özel bir Python tabanlı araç kullanarak Microsoft Office dosyalarını RAR arşivlerine kaydetmek için tasarlanmıştır.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Deep Instinct, “Arid Gopher, selefi Micropsia gibi, amacı bir dayanak noktası oluşturmak, hassas sistem bilgilerini toplamak ve onu bir C2 (komuta-kontrol) ağına geri göndermek olan, bilgi hırsızı bir kötü amaçlı yazılımdır.” söz konusu o zaman.
Symantec tarafından toplanan kanıtlar, Mantis’in erişimi sürdürmenin bir yolu olarak 18 Aralık 2022 ile 12 Ocak 2023 arasında üç farklı iş istasyonu setinde Micropsia ve Arid Gopher’ın üç farklı sürümünü dağıtmak için harekete geçtiğini gösteriyor.
Arid Gopher, saldırganların bir algılama kaçırma mekanizması olarak “varyantlar arasındaki mantığı agresif bir şekilde değiştirmesiyle” düzenli güncellemeler aldı ve tam kod yeniden yazımları aldı.
“Mantis, kapsamlı kötü amaçlı yazılımların yeniden yazılması ve tek bir kuruluşa yönelik saldırıları, tüm operasyonun gerçekleşme şansını azaltmak için birden çok ayrı diziye ayırma kararının da gösterdiği gibi, başarı şansını en üst düzeye çıkarmak için zaman ve çaba harcamaya istekli, kararlı bir düşman gibi görünüyor. algılandı,” diye tamamladı Symantec.
