blank

blank

Ativo desde pelo menos 2012, o Gaza Cybergang é um grupo suspeito de estar alinhado com o Hamas, cujas operações têm como alvo principal entidades palestinianas e Israel, concentrando-se na coleta de informações e espionagem.

A atividade do Cybergang em Gaza, que vai do final de 2022 até o final de 2023, foi observado que o grupo introduziu um novo backdoor para o seu arsenal de malware, usado para atingir principalmente entidades palestinas. O rastreamento do backdoor foi chamdo de Pierogi++, é baseado em uma cepa de malware mais antiga chamada Pierogi, observada pela primeira vez em 2019. Também observada com ataques consistentes a entidades palestinas neste período usando o malware básico da família Micropsia do grupo e Pierogi++.

ADVERSÁRIO: Gaza Cybergang
INDÚSTRIAS: Governo, Militares
PAÍS ALVO: Israel
FAMÍLIAS DE MALWARE: PyMicropsiaSharpStageDropBookLastConnWIRTETA401BigBangPrev SandmanMicropsiaBarbWireBig BangGaza CybergangPierogi
ATT&CK IDS: T1140 – Desofuscar/Decodificar Arquivos ou Informações, T1036 – Mascaramento, T1566 – Phishing, T1027 – Arquivos ou informações ofuscadas, T1102 – Serviço Web

 

O grupo é composto por vários subgrupos adjacentes observados compartilhando vítimas, TTPs (táticas, técnicas e procedimentos) e usando cepas de malware relacionadas desde 2018. Estes incluem:

  • Gaza Cybergang Group 1 (Molerats): este subgrupo é conhecido por usar campanhas de phishing para distribuir malware, como o backdoor Molarats.
  • Gaza Cybergang Group 2 (Arid Viper, Desert Falcons, APT-C-23): este subgrupo é conhecido por usar uma variedade de técnicas de ataque, incluindo phishing, watering hole e exploit kits.
  • Gaza Cybergang Group 3 (o grupo por trás da Operação Parlamento): este subgrupo é conhecido por ter atacado o Parlamento Europeu em 2022.

O Gaza Cybergang utiliza uma variedade de técnicas para atingir suas vítimas, incluindo:

  • Phishing: o grupo envia e-mails de phishing fraudulentos que se passam por organizações legítimas. Esses e-mails geralmente contêm links ou anexos maliciosos que, quando clicados ou abertos, instalam malware nos sistemas das vítimas.
  • Watering hole: o grupo visa sites que são frequentemente visitados por suas vítimas-alvo. Quando uma vítima visita um desses sites, o grupo instala malware no sistema da vítima sem que ela perceba.
  • Exploit kits: o grupo usa exploit kits para explorar vulnerabilidades conhecidas em software. Esses kits podem ser usados para instalar malware nos sistemas das vítimas sem que elas percebam.

O Gaza Cybergang tem sido ativo em uma variedade de campanhas cibernéticas, incluindo:

  • Campanhas de espionagem contra entidades palestinianas e israelenses: o grupo coletou informações confidenciais sobre essas entidades, incluindo informações militares, políticas e financeiras.
  • Campanhas de desinformação: o grupo espalhou desinformação sobre o conflito Israel-Hamas.
  • Campanhas de sabotagem: o grupo tentou interromper a infraestrutura crítica, como redes elétricas e sistemas de água.

O Gaza Cybergang é uma ameaça significativa para a segurança cibernética no Oriente Médio. As organizações na região devem estar cientes deste grupo e tomar medidas para se proteger contra seus ataques.

Detalhes técnicos sobre o malware utilizado pelo Gaza Cybergang

O Gaza Cybergang utiliza uma variedade de malware para atingir suas vítimas. Alguns dos malwares mais comuns utilizados pelo grupo incluem:

  • Molerats: este backdoor é usado para controlar remotamente os sistemas das vítimas. O Molarats permite que o grupo colete informações confidenciais dos sistemas das vítimas, como senhas, arquivos e dados de rede.
  • Arid Viper: este malware é usado para roubar informações de sistemas Windows. O Arid Viper pode roubar informações, como senhas, arquivos e dados de rede.
  • Desert Falcons: este malware é usado para realizar ataques DDoS. O Desert Falcons pode gerar tráfego de rede malicioso que pode sobrecarregar os sistemas das vítimas.

O Gaza Cybergang também utiliza uma variedade de técnicas para evitar a detecção de seus ataques. Algumas das técnicas mais comuns utilizadas pelo grupo incluem:

  • Uso de infraestrutura oculta: o grupo usa infraestrutura oculta, como servidores proxy e VPNs, para ocultar sua localização.
  • Uso de técnicas de obfuscation: o grupo usa técnicas de obfuscation, como criptografia e compactação, para dificultar a análise de seu malware.

As organizações que desejam se proteger contra os ataques do Gaza Cybergang devem tomar as seguintes medidas:

  • Implementar medidas de segurança básicas: as organizações devem implementar medidas de segurança básicas, como firewalls, antivírus e educação dos funcionários, para se proteger contra ataques cibernéticos.
  • Monitorar a atividade de rede: as organizações devem monitorar a atividade de rede para detectar atividades suspeitas.
  • Atualizar o software: as organizações devem atualizar o software regularmente para corrigir vulnerabilidades conhecidas.

As variantes da família Micropsia baseadas em Delphi e Python implantam documentos falsos escritos em árabe. Esses documentos geralmente focam em assuntos palestinos, como a herança cultural palestina e eventos políticos.

Os nomes de domínio C2 associados a essas variantes geralmente fazem referência a figuras públicas. Por exemplo, o domínio “bruce-ess[.]com” faz referência ao ator Bruce Willis, e o domínio “wayne-lashley[.]com” faz referência ao lutador profissional Wayne Lashley. Essas convenções de nomenclatura de domínio se alinham com as convenções conhecidas do Gaza Cybergang.

blank
Documento chamariz

blank

blank
Documentos maliciosos distribuindo Pierogi++

Para apoiar ainda mais o rastreamento coletivo das atividades das gangues cibernéticas em Gaza, a SentinelOne forneceu uma lista de indicadores de Micropsia anteriormente não relatados. Essa lista inclui endereços IP, nomes de domínio e hash de arquivos.

blank
Atribuições de malware
blank
Correspondências de strings de backdoor

Conclusões

As operações de gangues cibernéticas em Gaza durante 2022 e 2023 mostram que o grupo continua a ser uma ameaça persistente para entidades palestinas-israelenses.

  • O grupo continua a desenvolver seu arsenal de malware, incluindo o lançamento do backdoor Pierogi++.
  • O grupo é uma frente unificada contra os interesses anti-Hamas.
  • A necessidade de vigilância sustentada e de medidas cooperativas para enfrentar os desafios colocados por estes atores da ameaça é urgente.

Recomendações

  • As organizações e indivíduos na região devem estar cientes da ameaça do Gaza Cybergang e tomar medidas para se proteger, como:

    • Implementar medidas de segurança básicas, como firewalls, antivírus e educação dos funcionários.
    • Monitorar a atividade de rede para detectar atividades suspeitas.
    • Atualizar o software regularmente para corrigir vulnerabilidades conhecidas.

  • As agências de segurança cibernética devem continuar a monitorar as atividades do Gaza Cybergang e compartilhar informações para ajudar a proteger as organizações e indivíduos-alvo.

Indicadores de compromisso

Hashes SHA-1

003bb055758a7d687f12b65fc802bac07368335e Micropsia family malware
19026b6eb5c1c272d33bda3eab8197bec692abab Micropsia family malware
20c10d0eff2ef68b637e22472f14d87a40c3c0bd Pierogi backdoor
26fe41799f66f51247095115f9f1ff5dcc56baf8 TA402 malware staging executable (2022 version)
278565e899cb48138cc0bbc482beee39e4247a5d Pierogi backdoor
2a45843cab0241cce3541781e4e19428dcf9d949 Micropsia family malware
32d0073b8297cc8350969fd4b844d80620e2273a Document distributing Pierogi++
3ae41f7a84ca750a774f777766ccf4fd38f7725a Document distributing Pierogi++
42cb16fc35cfc30995e5c6a63e32e2f9522c2a77 Pierogi++
4dcdb7095da34b3cef73ad721d27002c5f65f47b BarbWire backdoor
5128d0af7d700241f227dd3f546b4af0ee420bbc Pierogi++
5619e476392c195ba318a5ff20e40212528729ba Micropsia family malware
599cf23db2f4d3aa3e19d28c40b3605772582cae Pierogi backdoor
5e46151df994b7b71f58556c84eeb90de0776609 Document distributing Pierogi++
5fcc262197fe8e0f129acab79fd28d32b30021d7 WIRTE PowerShell script
60480323f0e6efa3ec08282650106820b1f35d2f Archive distributing Pierogi++
694fa6436302d55c544cfb4bc9f853d3b29888ef BarbWire backdoor
708f05d39df7e47aefc4b15cb2db9f26bc9fad5f TA402 malware staging executable (2022 version)
745657b4902a451c72b4aab6cf00d05895bbc02f Micropsia family malware
75a63321938463b8416d500b34a73ce543a9d54d Pierogi++
95fc3fb692874f7415203a819543b1e0dd495a57 Micropsia family malware
994ebbe444183e0d67b13f91d75b0f9bcfb011db Operation Big Bang backdoor
aeeeee47becaa646789c5ee6df2a6e18f1d25228 Pierogi++
c3038d7b01813b365fd9c5fd98cd67053ed22371 Micropsia family malware
da96a8c04edf8c39d9f9a98381d0d549d1a887e8 Pierogi++
ee899ae5de50fdee657e04ccd65d76da7ede7c6f Operation Big Bang backdoor
f3e99ec389e6108e8fda6896fa28a4d7237995be Pierogi++

Domínios

aracaravan[.]com Pierogi++ C2 server
beatricewarner[.]com Pierogi++ C2 server
bruce-ess[.]com Micropsia C2 server
claire-conway[.]com Micropsia C2 server
delooyp[.]com Micropsia C2 server
escanor[.]live Pierogi backdoor C2 server
izocraft[.]com Micropsia C2 server
jane-chapman[.]com Micropsia C2 server
lindamullins[.]info Operation Big Bang backdoor C2 server
nicoledotson[.]icu Pierogi backdoor C2 server
overingtonray[.]info Pierogi backdoor C2 server
porthopeminorhockey[.]net Micropsia C2 server
spgbotup[.]club Operation Big Bang backdoor C2 server
stgeorgebankers[.]com WIRTE C2 server
swsan-lina-soso[.]info Pierogi++ C2 server
theconomics[.]net TA402 C2 server
wanda-bell[.]website BarbWire C2 server
wayne-lashley[.]com Micropsia C2 server
zakaria-chotzen[.]info Pierogi++ C2 server

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor