Kampanye Terbaru oleh Peretas Molerat Menargetkan Pemerintah Timur Tengah

  • Whatsapp
Kampanye Terbaru oleh Peretas Molerat Menargetkan Pemerintah Timur Tengah

 

Setelah dua bulan istirahat, organisasi ancaman gigih (APT) Timur Tengah telah muncul kembali dan menargetkan lembaga pemerintah di Timur Tengah — badan pemerintah global yang berafiliasi dengan geopolitik sebagai bagian dari kegiatan jahatnya baru-baru ini.
Proofpoint, sebuah perusahaan yang berkantor pusat di Sunnyvale, menganggap tindakan ini berasal dari aktor ancaman bermotivasi politik yang dilacak sebagai TA402, bahasa sehari-hari dikenal sebagai Molerats atau GazaHackerTeam.
TA402 seharusnya bekerja untuk tujuan yang konsisten dengan tujuan militer atau negara Palestina. Aktor ancaman telah beroperasi selama satu dekade dengan sejarah kompromi asosiasi terutama di Israel dan Palestina. Serangan tersebut mencakup vertikal seperti teknologi, telekomunikasi, keuangan, akademi, tentara, media, dan pemerintah.
Jeda dua bulan dalam operasi tidak jelas, tetapi peneliti Proofpoint telah menyarankan bahwa itu bisa memainkan peran baik di bulan suci Ramadhan atau dalam insiden baru-baru ini di wilayah tersebut serta dalam kekerasan yang terjadi di bulan Mei. .
Gelombang serangan saat ini dimulai dengan email spear-phishing yang terdaftar dalam bahasa Arab yang membawa file PDF yang disematkan dalam URL berbahaya yang di-geofenced yang hanya dapat secara selektif merutekan korban ke file yang dilindungi kata sandi jika alamat IP sumber dari file-file ini berada di negara-negara Timur Tengah yang ditargetkan. .
Penerima manfaat di luar Kelompok sasaran dipindahkan ke situs web ramah seperti Al Akhbar (www.al-akhbar.com) dan Al Jazeera (www.aljazeera.net), umumnya situs web berita berbahasa Arab.
Langkah terakhir pada rantai infeksi memerlukan ekstraksi arsip untuk menjatuhkan implan khusus bernama LastConn, yang merupakan versi baru atau peningkatan pintu belakang yang disebut SharpStages yang diungkapkan pada Desember 2020 oleh peneliti Cybereason, sebagai kampanye spionase Molerat yang menargetkan Middle Timur.
LastConn dijalankan dengan dokumen Decoy, malware ini sangat bergantung pada Dropbox API untuk mengunduh dan mengeksekusi file yang dihosting di cloud selain instruksi dan tangkapan layar yang kemudian dikembalikan ke Dropbox.
Toolkit TA402 yang terus berkembang menekankan bahwa Grup terus mengembangkan dan mengadaptasi implan malware yang disesuaikan untuk menyelinap melewati pertahanan masa lalu dan mendeteksi kegagalan.
“TA402 adalah aktor ancaman yang sangat efektif dan mampu yang tetap menjadi ancaman serius, terutama bagi entitas yang beroperasi dan bekerja dengan pemerintah atau entitas geopolitik lainnya di Timur Tengah,” para peneliti menyimpulkan. “Kemungkinan TA402 melanjutkan penargetannya yang sebagian besar difokuskan di kawasan Timur Tengah.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *