Aktif bir casusluk kampanyası, kötü amaçlı yazılım yüklerini barındırmak ve Orta Doğu’daki hedeflerden komuta ve kontrol ve veri sızdırmak için Google Drive ve Dropbox gibi meşru bulut hizmetlerini kötüye kullanan Molerats olarak bilinen tehdit aktörüne atfedildi.
Siber saldırının en az Temmuz 2021’den beri devam ettiğine inanılıyor. binaen bulut tabanlı bilgi güvenliği şirketi Zscaler’a, bilgisayar korsanlığı grubunun hedef ana bilgisayarlar üzerinde keşif yapmak ve hassas bilgileri yağmalamak için önceki çabalarını sürdürüyor.
moleratlar, aynı zamanda TA402, Gaza Hackers Team ve Extreme Jackal olarak da izlenen, büyük ölçüde Orta Doğu’da faaliyet gösteren kuruluşlara odaklanan gelişmiş bir kalıcı tehdit (APT) grubudur. Oyuncuyla ilişkili saldırı etkinliği, kullanıcıları Microsoft Office eklerini açmaya ve kötü niyetli bağlantılara tıklamaya ikna etmek için jeopolitik ve askeri temalardan yararlandı.
Zscaler tarafından detaylandırılan en son kampanya, virüslü sistemlerde bir .NET arka kapısı sağlamak için İsrail ve Filistin arasında devam eden çatışmalarla ilgili tuzak temaları kullanması bakımından farklı değil ve bu da bir düşmanla iletişim kurmak için Dropbox API’sini kötüye kullanıyor. kontrollü sunucu ve veri iletimi.
Güvenliği ihlal edilmiş makineye komuta etmek için belirli komut kodlarını kullanan implant, anlık görüntü alma, ilgili dizinlerdeki dosyaları listeleme ve karşıya yükleme ve isteğe bağlı komutlar çalıştırma özelliklerini destekler. Saldırı altyapısını inceleyen araştırmacılar, bu amaçla kullanılan en az beş Dropbox hesabı bulduklarını söylediler.
Zscaler ThreatLabz araştırmacıları Sahil Antil ve Sudeep, “Bu kampanyadaki hedefler özellikle tehdit aktörü tarafından seçildi ve Filistin’deki bankacılık sektörünün kritik üyelerini, Filistin siyasi partileriyle ilgili kişileri ve ayrıca Türkiye’deki insan hakları aktivistlerini ve gazetecileri içeriyordu.” dedi Singh.
