Ativo desde pelo menos 2012, o Gaza Cybergang é um grupo suspeito de estar alinhado com o Hamas, cujas operações têm como alvo principal entidades palestinianas e Israel, concentrando-se na coleta de informações e espionagem.
A atividade do Cybergang em Gaza, que vai do final de 2022 até o final de 2023, foi observado que o grupo introduziu um novo backdoor para o seu arsenal de malware, usado para atingir principalmente entidades palestinas. O rastreamento do backdoor foi chamdo de Pierogi++, é baseado em uma cepa de malware mais antiga chamada Pierogi, observada pela primeira vez em 2019. Também observada com ataques consistentes a entidades palestinas neste período usando o malware básico da família Micropsia do grupo e Pierogi++.
O grupo é composto por vários subgrupos adjacentes observados compartilhando vítimas, TTPs (táticas, técnicas e procedimentos) e usando cepas de malware relacionadas desde 2018. Estes incluem:
- Gaza Cybergang Group 1 (Molerats): este subgrupo é conhecido por usar campanhas de phishing para distribuir malware, como o backdoor Molarats.
- Gaza Cybergang Group 2 (Arid Viper, Desert Falcons, APT-C-23): este subgrupo é conhecido por usar uma variedade de técnicas de ataque, incluindo phishing, watering hole e exploit kits.
- Gaza Cybergang Group 3 (o grupo por trás da Operação Parlamento): este subgrupo é conhecido por ter atacado o Parlamento Europeu em 2022.
O Gaza Cybergang utiliza uma variedade de técnicas para atingir suas vítimas, incluindo:
- Phishing: o grupo envia e-mails de phishing fraudulentos que se passam por organizações legítimas. Esses e-mails geralmente contêm links ou anexos maliciosos que, quando clicados ou abertos, instalam malware nos sistemas das vítimas.
- Watering hole: o grupo visa sites que são frequentemente visitados por suas vítimas-alvo. Quando uma vítima visita um desses sites, o grupo instala malware no sistema da vítima sem que ela perceba.
- Exploit kits: o grupo usa exploit kits para explorar vulnerabilidades conhecidas em software. Esses kits podem ser usados para instalar malware nos sistemas das vítimas sem que elas percebam.
O Gaza Cybergang tem sido ativo em uma variedade de campanhas cibernéticas, incluindo:
- Campanhas de espionagem contra entidades palestinianas e israelenses: o grupo coletou informações confidenciais sobre essas entidades, incluindo informações militares, políticas e financeiras.
- Campanhas de desinformação: o grupo espalhou desinformação sobre o conflito Israel-Hamas.
- Campanhas de sabotagem: o grupo tentou interromper a infraestrutura crítica, como redes elétricas e sistemas de água.
O Gaza Cybergang é uma ameaça significativa para a segurança cibernética no Oriente Médio. As organizações na região devem estar cientes deste grupo e tomar medidas para se proteger contra seus ataques.
Detalhes técnicos sobre o malware utilizado pelo Gaza Cybergang
O Gaza Cybergang utiliza uma variedade de malware para atingir suas vítimas. Alguns dos malwares mais comuns utilizados pelo grupo incluem:
- Molerats: este backdoor é usado para controlar remotamente os sistemas das vítimas. O Molarats permite que o grupo colete informações confidenciais dos sistemas das vítimas, como senhas, arquivos e dados de rede.
- Arid Viper: este malware é usado para roubar informações de sistemas Windows. O Arid Viper pode roubar informações, como senhas, arquivos e dados de rede.
- Desert Falcons: este malware é usado para realizar ataques DDoS. O Desert Falcons pode gerar tráfego de rede malicioso que pode sobrecarregar os sistemas das vítimas.
O Gaza Cybergang também utiliza uma variedade de técnicas para evitar a detecção de seus ataques. Algumas das técnicas mais comuns utilizadas pelo grupo incluem:
- Uso de infraestrutura oculta: o grupo usa infraestrutura oculta, como servidores proxy e VPNs, para ocultar sua localização.
- Uso de técnicas de obfuscation: o grupo usa técnicas de obfuscation, como criptografia e compactação, para dificultar a análise de seu malware.
As organizações que desejam se proteger contra os ataques do Gaza Cybergang devem tomar as seguintes medidas:
- Implementar medidas de segurança básicas: as organizações devem implementar medidas de segurança básicas, como firewalls, antivírus e educação dos funcionários, para se proteger contra ataques cibernéticos.
- Monitorar a atividade de rede: as organizações devem monitorar a atividade de rede para detectar atividades suspeitas.
- Atualizar o software: as organizações devem atualizar o software regularmente para corrigir vulnerabilidades conhecidas.
As variantes da família Micropsia baseadas em Delphi e Python implantam documentos falsos escritos em árabe. Esses documentos geralmente focam em assuntos palestinos, como a herança cultural palestina e eventos políticos.
Os nomes de domínio C2 associados a essas variantes geralmente fazem referência a figuras públicas. Por exemplo, o domínio “bruce-ess[.]com” faz referência ao ator Bruce Willis, e o domínio “wayne-lashley[.]com” faz referência ao lutador profissional Wayne Lashley. Essas convenções de nomenclatura de domínio se alinham com as convenções conhecidas do Gaza Cybergang.
Para apoiar ainda mais o rastreamento coletivo das atividades das gangues cibernéticas em Gaza, a SentinelOne forneceu uma lista de indicadores de Micropsia anteriormente não relatados. Essa lista inclui endereços IP, nomes de domínio e hash de arquivos.
Conclusões
As operações de gangues cibernéticas em Gaza durante 2022 e 2023 mostram que o grupo continua a ser uma ameaça persistente para entidades palestinas-israelenses.
- O grupo continua a desenvolver seu arsenal de malware, incluindo o lançamento do backdoor Pierogi++.
- O grupo é uma frente unificada contra os interesses anti-Hamas.
- A necessidade de vigilância sustentada e de medidas cooperativas para enfrentar os desafios colocados por estes atores da ameaça é urgente.
Recomendações
-
As organizações e indivíduos na região devem estar cientes da ameaça do Gaza Cybergang e tomar medidas para se proteger, como:
- Implementar medidas de segurança básicas, como firewalls, antivírus e educação dos funcionários.
- Monitorar a atividade de rede para detectar atividades suspeitas.
- Atualizar o software regularmente para corrigir vulnerabilidades conhecidas.
-
As agências de segurança cibernética devem continuar a monitorar as atividades do Gaza Cybergang e compartilhar informações para ajudar a proteger as organizações e indivíduos-alvo.
Indicadores de compromisso
Hashes SHA-1
003bb055758a7d687f12b65fc802bac07368335e | Micropsia family malware |
19026b6eb5c1c272d33bda3eab8197bec692abab | Micropsia family malware |
20c10d0eff2ef68b637e22472f14d87a40c3c0bd | Pierogi backdoor |
26fe41799f66f51247095115f9f1ff5dcc56baf8 | TA402 malware staging executable (2022 version) |
278565e899cb48138cc0bbc482beee39e4247a5d | Pierogi backdoor |
2a45843cab0241cce3541781e4e19428dcf9d949 | Micropsia family malware |
32d0073b8297cc8350969fd4b844d80620e2273a | Document distributing Pierogi++ |
3ae41f7a84ca750a774f777766ccf4fd38f7725a | Document distributing Pierogi++ |
42cb16fc35cfc30995e5c6a63e32e2f9522c2a77 | Pierogi++ |
4dcdb7095da34b3cef73ad721d27002c5f65f47b | BarbWire backdoor |
5128d0af7d700241f227dd3f546b4af0ee420bbc | Pierogi++ |
5619e476392c195ba318a5ff20e40212528729ba | Micropsia family malware |
599cf23db2f4d3aa3e19d28c40b3605772582cae | Pierogi backdoor |
5e46151df994b7b71f58556c84eeb90de0776609 | Document distributing Pierogi++ |
5fcc262197fe8e0f129acab79fd28d32b30021d7 | WIRTE PowerShell script |
60480323f0e6efa3ec08282650106820b1f35d2f | Archive distributing Pierogi++ |
694fa6436302d55c544cfb4bc9f853d3b29888ef | BarbWire backdoor |
708f05d39df7e47aefc4b15cb2db9f26bc9fad5f | TA402 malware staging executable (2022 version) |
745657b4902a451c72b4aab6cf00d05895bbc02f | Micropsia family malware |
75a63321938463b8416d500b34a73ce543a9d54d | Pierogi++ |
95fc3fb692874f7415203a819543b1e0dd495a57 | Micropsia family malware |
994ebbe444183e0d67b13f91d75b0f9bcfb011db | Operation Big Bang backdoor |
aeeeee47becaa646789c5ee6df2a6e18f1d25228 | Pierogi++ |
c3038d7b01813b365fd9c5fd98cd67053ed22371 | Micropsia family malware |
da96a8c04edf8c39d9f9a98381d0d549d1a887e8 | Pierogi++ |
ee899ae5de50fdee657e04ccd65d76da7ede7c6f | Operation Big Bang backdoor |
f3e99ec389e6108e8fda6896fa28a4d7237995be | Pierogi++ |
Domínios
aracaravan[.]com | Pierogi++ C2 server |
beatricewarner[.]com | Pierogi++ C2 server |
bruce-ess[.]com | Micropsia C2 server |
claire-conway[.]com | Micropsia C2 server |
delooyp[.]com | Micropsia C2 server |
escanor[.]live | Pierogi backdoor C2 server |
izocraft[.]com | Micropsia C2 server |
jane-chapman[.]com | Micropsia C2 server |
lindamullins[.]info | Operation Big Bang backdoor C2 server |
nicoledotson[.]icu | Pierogi backdoor C2 server |
overingtonray[.]info | Pierogi backdoor C2 server |
porthopeminorhockey[.]net | Micropsia C2 server |
spgbotup[.]club | Operation Big Bang backdoor C2 server |
stgeorgebankers[.]com | WIRTE C2 server |
swsan-lina-soso[.]info | Pierogi++ C2 server |
theconomics[.]net | TA402 C2 server |
wanda-bell[.]website | BarbWire C2 server |
wayne-lashley[.]com | Micropsia C2 server |
zakaria-chotzen[.]info | Pierogi++ C2 server |
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.