Новости Symantec обнаружила Arid Gopher: новейшее оружие в атаках на Ближний Восток

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Группировка AridViper обновила свои инструменты и теперь атакует цели в Палестине.


8wn3mgf4smc0pvohnu3rlyndrol1m7vg.jpg


Специалисты компании Symantec сообщают, что группировка AridViper (Mantis, APT-C-23, Desert Falcon) с сентября 2022 года атакует цели в Палестине, используя обновленные варианты своего набора вредоносных программ.

Ещё в 2015 исследователи «Лаборатории Касперского» предположили, что хакеры AridViper являются носителями арабского языка и базируются в Палестине, Египте и Турции. Предыдущие публичные отчеты также связывали группу с киберподразделением ХАМАС. В своих атаках хакеры Mantis использовали арсенал собственных инструментов под названием Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся (VolatileVenom) и Для просмотра ссылки Войди или Зарегистрируйся для проведения скрытых атаках на Windows, Android и iOS.

В апреле 2022 года высокопоставленные израильские лица, работающие в секретных организациях сектора обороны, правоохранительных органов и служб экстренной помощи, Для просмотра ссылки Войди или Зарегистрируйся Windows под названием BarbWire, связанным с AridViper. Цепочка атак включала использование фишинговых писем и поддельных профилей в соцсетях для того, чтобы убедить жертву установить вредоносное ПО.

В атаках, обнаруженных Symantec, используются обновленные версии собственных имплантатов группы Micropsia и Arid Gopher для проникновения в систему жертвы и эксфильтрации украденных данных.

Бэкдор Arid Gopher, написанный на языке Golang, представляет собой вариант вредоносного ПО Для просмотра ссылки Войди или Зарегистрируйся , которое впервые было задокументировано в марте 2022 года. Работа на Golang позволяет вредоносному ПО оставаться незамеченным.

Arid Gopher выполняет следующие функции:

  • создаёт плацдарм для злоумышленника;
  • собирает системную информацию;
  • отправляет украденные данные на С2-сервер.

Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки (например, Arid Gopher), также предназначена для:

  • регистрации нажатий клавиш (кейлоггинг);
  • создания снимков экрана;
  • сохранения файлов Microsoft Office в RAR-архивах для последующей эксфильтрации с помощью специального инструмента на основе Python.

Специалисты Symantec отмечают, что Arid Gopher регулярно обновляется и полностью переписывает код, при этом киберпреступники «агрессивно мутируют логику между вариантами» в качестве механизма уклонения от обнаружения.

По словам экспертов, Mantis является решительным противником, готовым потратить время и усилия на то, чтобы максимизировать свои шансы на успех, о чем свидетельствует переписывание вредоносного ПО и решение разделить атаки против отдельных организаций на несколько отдельных направлений, чтобы снизить вероятность обнаружения всей операции.
 
Источник новости
www.securitylab.ru

Похожие темы