Uma nova campanha de ataques cibernéticos está usando o conflito entre Israel e Hamas para espalhar malware sofisticado. A campanha, que está sendo atribuída ao grupo ITG05, está direcionando organizações em pelo menos 13 países.
Os ataques usam documentos de isca que se parecem com notícias ou informações sobre o conflito. Os documentos geralmente contêm um link para um arquivo malicioso que, quando aberto, instala o malware Headlace.
O Headlace é um backdoor backdoor que permite aos atacantes controlar remotamente as máquinas infectadas. O malware pode ser usado para roubar dados, instalar outros malwares ou causar danos aos sistemas.
A IBM X-Force, que descobriu a campanha, alertou as organizações para estarem cientes dos ataques. A empresa recomenda que as organizações implementem medidas de segurança básicas, como o uso de antivírus atualizados e a educação dos funcionários sobre segurança cibernética.
O conflito entre Israel e Hamas é um dos mais recentes conflitos geopolíticos a serem explorados por grupos de hackers. Em dezembro de 2023, a IBM X-Force descobriu uma nova campanha de ataques cibernéticos que usa o conflito para espalhar malware sofisticado.
A campanha está sendo atribuída ao grupo ITG05, um grupo de hackers patrocinado pelo governo russo. O grupo é conhecido por realizar ataques cibernéticos contra organizações em todo o mundo.
Descrição dos Ataques:
Os ataques usam documentos de isca que se parecem com notícias ou informações sobre o conflito. Os documentos geralmente contêm um link para um arquivo malicioso que, quando aberto, instala o malware Headlace.
O Headlace é um backdoor backdoor que permite aos atacantes controlar remotamente as máquinas infectadas. O malware pode ser usado para roubar dados, instalar outros malwares ou causar danos aos sistemas.
A IBM X-Force observou que os atacantes estão usando uma variedade de técnicas para enviar os documentos de isca, incluindo:
- E-mail: Os atacantes estão enviando e-mails que parecem ser de fontes legítimas, como agências de notícias ou organizações humanitárias.
- Redes sociais: Os atacantes estão postando links para os documentos de isca em redes sociais, como Twitter e Facebook.
- Mensagens instantâneas: Os atacantes estão enviando mensagens instantâneas que contêm links para os documentos de isca.
Exemplo de atração 1: Carta-convite para a discussão de especialistas no Centro Razumkov
O primeiro documento de atração descoberto intitulado “Carta-convite para a discussão de especialistas no Centro Razumkov”, data do início de setembro de 2023 e foi relatado pela primeira vez pelo Google TAG. Aproveita um documento publicamente disponível carregado um dia antes da apresentação do evento legítimo organizado pelo Centro Razumkov em parceria com a Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) sob os auspícios do pacto USAID/ENGAGE. O convite apresenta as conclusões do artigo “Guerra de Atrito: Comparação de Potenciais e Avaliação de Perspectivas” sobre os resultados actuais do conflito na Ucrânia, potenciais de combate e abordagens políticas para evitar o impasse. A campanha é dirigida a alvos baseados na Roménia com base na geolocalização do download direcionado.
Notavelmente, esta isca estava contida em um arquivo .RAR explorando CVE-2023-38831. Se aberto com versões WinRAR anteriores a 6.23, o exploit faz com que o Headlace seja executado silenciosamente se um usuário tentar abrir o arquivo PDF benigno.
Exemplo de isca 2: SEDE-PV-2023-10-09-1_EN.docx
Carregado em meados de outubro de 2023, o documento de atração intitulado “SEDE-PV-2023-10-09-1_EN.docx” apresenta a ata disponível ao público da reunião de 9 de outubro de 2023 da Subcomissão de Segurança e Defesa do Parlamento Europeu. Incluída na agenda adoptada está a questão de “A situação de segurança após o ataque do Hamas contra Israel, troca de pontos de vista com a Missão de Polícia da UE para os Territórios Palestinianos (EUPOLCOPPS) e a Missão de Assistência Fronteiriça da UE em Rafah (EUBAM Rafah).”
Exemplo de isca 3: war.docx
Carregado no início de novembro de 2023, o documento intitulado “war.docx” apresenta uma cópia autêntica da versão avançada não editada, disponível publicamente, do “Relatório do Comitê Especial para Investigar as Práticas Israelenses que Afetam os Direitos Humanos do Povo Palestino e de Outros Árabes do Territórios Ocupados” apresentado na septuagésima oitava sessão da Assembleia Geral das Nações Unidas. O conteúdo apresenta questões políticas e contexto histórico relacionado ao Levante entre setembro de 2022 e setembro de 2023, antes dos ataques surpresa de outubro de 2023.
Exemplo de isca 4: Roadmap.docx
Em meados de Novembro de 2023, um documento de 15 páginas intitulado “roteiro” foi carregado por vários utilizadores baseados no Azerbaijão apresentando o que parece ser a versão de marcação interna de um proposto “Roteiro para o desenvolvimento da cooperação entre a República da Bielorrússia e a República do Azerbaijão até 2025” associada à Comissão Mista Intergovernamental entre a República do Azerbaijão e a República da Bielorrússia sobre Cooperação Económica. O documento apresenta duas linhas para assinaturas de aprovação dos respectivos ministros de estado, seguidas de uma data preenchível pré-preenchida com o ano de 2023. O documento parece ser autêntico dados os metadados associados às modificações do usuário.
No início de dezembro de 2023, a X-Force descobriu uma isca ITG05 aproveitando o comunicado de imprensa autêntico de 5 de dezembro de 2023 publicado pelo Banco de Israel. O documento intitulado 2023-12-bois-position-on-accessing-capital-pr.docx detalha os “Principais pontos da posição do Banco de Israel apresentada ao Comitê de Economia do Knesset em relação a entidades não bancárias que acessam fontes de capital para expandir sua oferta de empréstimos Devido à guerra.
Exemplo de isca 6: IN11897.pdf
Cadeia de Infecção
O que se segue representa a análise detalhada da X-Force das múltiplas cadeias de infecção associadas às iscas acima, entregando, em última análise, o malware Headlace.
O diagrama acima é uma representação de alto nível do fluxo de infecção do Headlace. Um mergulho profundo nos diferentes componentes que afetam a entrega, incluindo o abuso de serviços de hospedagem comercial, malware em vários estágios, exploração e comando e controle, são explorados nas seções a seguir.
A X-Force observou um grande número de scripts de enumeração de navegadores direcionados especificamente aos seguintes países:
- Hungria
- Turquia
- Austrália
- Polônia
- Bélgica
- Ucrânia
- Alemanha
- Azerbaijão
- Arábia Saudita
- Cazaquistão
- Itália
- Letônia
- Romênia
Variantes posteriores dos scripts de enumeração e verificação são provavelmente implementadas no lado do servidor com um ID específico codificado, que é fornecido no primeiro URL de phishing e é necessário durante todos os estágios posteriores como um parâmetro de URL.
Impacto dos Ataques:
A IBM X-Force observou que os ataques estão direcionados a organizações em pelo menos 13 países, incluindo Israel, Estados Unidos, Reino Unido, França e Alemanha.
Os ataques já causaram danos a algumas organizações. Em um caso, os atacantes usaram o malware Headlace para roubar dados confidenciais de uma empresa de tecnologia.
Recomendações de Segurança:
O IDCiber recomenda que as organizações implementem medidas de segurança básicas para se proteger contra esses ataques, incluindo:
- Mantenha seu software antivírus atualizado.
- Seja cauteloso ao abrir documentos de isca.
- Não clique em links de fontes desconhecidas.
- Educar seus funcionários sobre segurança cibernética.
A X-Force recomenda que todos os indivíduos e entidades envolvidos ou informados na criação de políticas permaneçam em um estado elevado de segurança defensiva e:
- Fique por dentro das explorações recém-publicadas que provavelmente serão usadas pelos atores do APT.
- Procure processos gerados regularmente contendo “msedge –headless-new –disable-gpu”.
- Procure processos sem cabeça do MS Edge baixando arquivos .CSS.
- Monitore arquivos baixados contendo arquivos .CMD.
- Monitore o sequestro de DLL por meio de arquivos WindowsCodecs.dll modificados.
- Monitore nomes de arquivos contendo um número incomumente grande de espaços em branco consecutivos.
- Monitore o tráfego de rede em busca de uso incomum ou não autorizado de serviços comerciais.
- Monitore o uso suspeito de navegadores no modo headless.
- Instalar e configurar software de segurança de endpoint.
- Atualize as regras relevantes de monitoramento de segurança de rede.
- Eduque a equipe sobre as ameaças potenciais à organização.
Indicadores de Compromisso
MD5, SHA1, SHA256, caminho do arquivo, nome do arquivo, comando, chave do registro, valor do registro, tarefa agendada, nome do serviço.
Indicador |
Tipo de indicador |
Contexto |
https://mockbin[.]org/bin/902ca47f-644d-4d44-88ec-060fdb7acaa4 |
URL |
JS Dropper URL |
https://mockbin[.]org/bin/229f6d51-f534-466f-b642-e86811631083 |
URL |
JS Dropper URL |
https://downloadingdoc.infinityfreeapp[.]com/filedwn.php |
URL |
JS Dropper URL |
https://document-c.infinityfreeapp[.]com/execdwn.php?id=aec02d48-92f3-45a5-a003-051369b51928 |
URL |
JS Dropper URL |
https://downloaddoc.infinityfreeapp[.]com/execdwn.php?id=488354ce-01ce-4d45-b47a-88701d40c52a |
URL |
JS Dropper URL |
https://mockbin[.]org/bin/7cc44695-0c31-4620-bed4-2e60adf0a4b6 |
URL |
JS Dropper URL |
https://mockbin[.]org/bin/92354a6a-ba1f-4a1a-abea-fba269cabd66 |
URL |
JS Dropper URL |
https://downloaddoc.infinityfreeapp[.]com/execdwn.php?id=6a98168f-f14f-4014-8b28-8329b0118936 |
URL |
JS Dropper URL |
68bfa69cdbf947eac31e736b2e54244e829e302ea8dafd65edc6e0f879257a53 |
sha256 |
archive |
0db8cd7f349afe5a85cd3fd798e2cf4dcb7d2cbbdea3c312f2c7108c4347ada4 |
sha256 |
malicious batch script |
a706778508af9e507d6d4b509276e9b82ce94f8a2ec913cc2deadba5aaa7d538 |
sha256 |
malicious batch script |
ed982645d677c04cb5846251924a12e0e2c9ed16d8fa800a628189faf5009c9f |
sha256 |
malicious batch script |
896ca8488c9d8792bd0197646d857e0c2ae0312bbc6d812c12da45016f019264 |
sha256 |
malicious batch script |
595590fdfa9618b7f7aab5b8795f9336d71c8918f60aa88dce5d4b07c7071a5a |
sha256 |
malicious batch script |
726af8cd2d92691045ebe659d77acf4ae19b7172e383556befb79719fb78d7ce |
sha256 |
malicious batch script |
ab5aef93ffe694970374af638b407dbd56ea5a548235973f51cba67cd7baa07e |
sha256 |
malicious batch script |
19e95b32b77d8dfd294c085793cd542d82eddac8e772818fea2826fa02a5cc54 |
sha256 |
malicious batch script |
f5b7a2d9872312e000acbe3dc8153707acecc5ba184f97ad6014327db16549c7 |
sha256 |
malicious batch script |
d281a1fa09e7810a4a9e13750d227f557e54370689fd86216332534bc9214918 |
sha256 |
malicious batch script |
a760b01841a120eccc22856af1c9a8e513871366ef329502f42f9648708720ca |
sha256 |
malicious batch script |
103adb71848a31021692f5ba2ef1691eb29f3ded81b86954753f2f2fbeda08a7 |
sha256 |
malicious batch script |
47074a6d033966d07e4587705401533ad6c5fa2b11303c520a37999337d1a1eb |
sha256 |
malicious DLL |
79fe0b155cf5d2b45d28946ad6ba47f7282b468af064c29346dcd1dcd0aec507 |
sha256 |
malicious DLL |
9a798e0b14004e01c5f336aeb471816c11a62af851b1a0f36284078b8cf09847 |
sha256 |
malicious DLL |
290b63be4b81ee8a569cb3298eac089b775acc07c82a2d9ea800de8314c6f342 |
sha256 |
malicious javascript dropper |
ed56740c66609d2bbd39dc60cf29ee47743344a9a6861bee7c08ccfb27376506 |
sha256 |
malicious lnk |
a37140d97600573ace4fc31a9d289adcedb5c9cbfb92059b7184e46b635aaf57 |
sha256 |
malicious visual basic script |
9f5846193f545341b0c897947e07bc068712e396fe7c0863d43420bbd633aab1 |
sha256 |
news_week_6.docx |
f983d786f4dc2d1793f6b28907c4035c96b6b5c8765ba12dc4510dab0fceabf5 |
sha256 |
news_week_6.zip |
84638698fdcf2e9e45e7dd560c8d00fb4da6fa32dabaacd31b3538d38755dad4 |
sha256 |
news_week_6.zip |
5b8c240083cba4442fb6bbb092efd430ce998530cc10fd181b3f71845ec190ce |
sha256 |
news_week_6.zip |
16bcd167162e4ded71b8c7e9a2587be821d3a752c71fcbb2ae64cf1088b62fc0 |
sha256 |
news_week_6.zip |
1f4792dadaf346969c5e4870a01629594b6c371de21f8635c95aa6aba24ef24c |
sha256 |
war.docx |
8cc664ff412fc80485d0af61fb0617f818d37776e5a06b799f74fe0179b31768 |
sha256 |
war.zip |
2ac6735e8e0b23b222161690adf172aec668894d170299e9ff2c54a4ec25b1f4 |
sha256 |
war.zip |
d37779e16a92da7bd05eae50c64b36e2e2022eb441382be686fda4dbd1800e90 |
sha256 |
war.zip |
45e44afeb8b890004fd1cb535978d0754ceaa7129082cb72386a80a5532700d1 |
sha256 |
Zeyilname.zip |
22ed5c5cd9c6a351398f1e56efdfb16d52cd33cb4b206237487a03443d3de893 |
sha256 |
Zeyilname.zip |
243bab79863327915c315c188c0589202f64b3500a3fee3e2c9f3d34e8e1f154 |
sha256 |
Zeyliname.docx |
5a58e99a0ecdc461ce11c8253df9ea410076d56abc254628ed5ff4e5622acfde |
sha256 |
Razumkov Centre pdf |
e699a7971a38fe723c690f37ba81187eb8ed78e51846aa86aa89524c325358b4 |
sha256 |
EU Parliament doc |
1cfa9dbc91e3d136cbd42670f5a587963dab5898e7bd68684966d6e07bcb23e2 |
sha256 |
Roadmap.docx |
3cc52ef447578f4ab549f692013d7f2e849aba8cad83a8d63bf1569d874f38fa |
sha256 |
2023-12-bois-position-on-accessing-capital-pr.docx |
a50e32f52c249129655a9cb7be28b4efc32244c70f5ed1b4c4925b1b8f41199e |
sha256 |
IN11897.pdf |
A campanha de ataques cibernéticos que usa o conflito entre Israel e Hamas é um exemplo de como os hackers estão explorando eventos geopolíticos para espalhar malware. As organizações devem estar cientes desses ataques e tomar medidas para se proteger.
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.