Aktor ancaman Palestina yang dikenal, MoleRats kemungkinan berada di balik kampanye email berbahaya baru-baru ini yang menargetkan pemerintah Timur Tengah, lembaga pemikir kebijakan luar negeri, dan maskapai penerbangan yang berafiliasi dengan negara dengan trojan pengumpulan intelijen baru yang dijuluki NimbleMamba, kata para peneliti.

Peneliti dari Proofpoint mengatakan mereka telah mengamati sebuah kampanye spear-phishing menggunakan banyak vektor sejak November yang mereka yakini adalah karya TA402, lebih dikenal sebagai MoleRats dan terkait dengan Wilayah Palestina, menurut laporan yang diposting online Selasa.

Kampanye ini menggunakan berbagai umpan phishing dan mencakup taktik tidak hanya untuk menghindari terdeteksi tetapi juga untuk memastikan bahwa muatan malware intinya hanya menyerang target tertentu, tulis peneliti Proofpoint dalam laporannya. Beberapa serangan yang diamati oleh tim juga mengirimkan muatan sekunder, sebuah trojan yang dijuluki BrittleBush, kata mereka.

NimbleMamba, disampaikan sebagai .NET yang dikaburkan yang dapat dieksekusi menggunakan obfuscator pihak ketiga, adalah trojan pengumpulan-intelijen yang diyakini para peneliti sebagai pengganti sebelumnya malware yang digunakan oleh TA402, LastConn.

“NimbleMamba memiliki kemampuan tradisional trojan pengumpulan-intelijen dan kemungkinan dirancang untuk menjadi akses awal,” tulis para peneliti. “Fungsinya termasuk menangkap tangkapan layar dan memperoleh informasi proses dari komputer. Selain itu, ia dapat mendeteksi interaksi pengguna, seperti mencari gerakan mouse.”

MoleRats adalah bagian dari Gaza Cybergang, sebuah kolektif yang berbicara bahasa Arab, bermotivasi politik dari kelompok-kelompok ancaman yang saling terkait yang secara aktif menargetkan Timur Tengah dan Afrika Utara. Ini dikenal karena serangan menggunakan spyware dan malware lainnya yang bertujuan untuk mengumpulkan intelijen.

Peneliti dari Zscaler telah mengamati MoleRats menargetkan orang-orang Palestina terkemuka, serta aktivis dan jurnalis di Turki, dengan spyware dalam serangan yang diidentifikasi sebelumnya pada bulan Januari. Kampanye itu menggunakan file berbahaya yang dipalsukan agar terlihat seperti konten sah yang terkait dengan konflik Israel-Palestina.

Variasi Kampanye Spionase

Proofpoint menguraikan tiga jenis email menggunakan taktik dan URL berbeda yang ditujukan untuk menipu korban agar mengklik tautan berbahaya untuk mengunduh muatan utama.

One, yang mereka amati pada bulan November, menunjukkan MoleRats berpura-pura menjadi situs Quora saat menggunakan akun Gmail yang dikendalikan aktor dengan domain yang dikendalikan aktor, kata mereka.

Vektor serangan menunjukkan ciri khas kampanye, yaitu menggunakan geofencing untuk menargetkan negara tertentu dengan muatan berbahaya daripada mengirimkannya ke semua orang yang mengklik tautan berbahaya email. Email tersebut muncul untuk mengiklankan Ugg boots for sale.

“URL berbahaya, seperti https[:]//www[.]uggboots4sale[.]com/news15112021.php, di email phishing telah diberi geofencing ke negara yang ditargetkan,” peneliti menulis. ” Jika alamat IP target cocok dengan wilayah yang ditargetkan, pengguna akan diarahkan ke unduhan file .RAR yang berisi implan TA402 terbaru, NimbleMamba. Jika di luar area target, pengguna akan diarahkan ke situs berita yang sah.”

Variasi kedua, yang disebut “URL Dropbox”, diamati pada bulan Desember menggunakan “beberapa alasan phishing, termasuk umpan medis clickbait dan yang diduga berbagi informasi geopolitik rahasia, ” tulis peneliti.

Variasi ini juga menggunakan akun Gmail yang dikendalikan oleh TA402 untuk mengirim email, tetapi dialihkan ke URL Dropbox untuk mengirimkan file .RAR berbahaya yang berisi NimbleMamba. Itu juga meninggalkan penggunaan geofencing, kata mereka.

Selain itu, dalam variasi ini, peneliti memperhatikan bahwa pelaku ancaman juga menggunakan layanan berbagi file berbasis cloud Dropbox untuk perintah dan kontrol malware (C2), yang mendorong mereka untuk memberi tahu Dropbox dari aktivitas jahat sehingga mereka bisa mengakhirinya, kata mereka. MoleRats terlihat menggunakan Dropbox untuk C2 dalam serangan yang diidentifikasi sebelumnya pada bulan Januari.

Email ketiga yang digunakan oleh penyerang, diamati pada bulan Desember dan Januari, menggunakan konten rekayasa sosial khusus untuk memikat target. Namun, dalam variasi ini, MoleRats “sedikit menyesuaikan rantai serangan mereka dengan memasukkan URL WordPress tambahan yang dikendalikan aktor,” tulis para peneliti.

Situs WordPress meniru agregator berita dari situs berita sah yang digunakan dalam variasi kampanye pertama, dan kemungkinan dialihkan ke situs unduhan file .RAR berbahaya yang berisi NimbleMamba jika seseorang di wilayah yang ditargetkan mengklik tautan, kata peneliti.

“Jika alamat IP sumber tidak sesuai dengan wilayah target, URL akan mengarahkan penerima ke situs web yang tidak berbahaya , biasanya situs web berita berbahasa Arab,” tambah mereka.

NimbleMamba in Depth

Muatan kampanye yang paling sering dikirim, NimbleMamba, memiliki beberapa kesamaan antara kiriman TA402 yang digunakan sebelumnya, LastConn, tetapi juga beberapa perbedaan penting, peneliti mengamati.

Kedua executable ditulis di C#, miliki enkode base64 dalam kerangka kerja C2 dan gunakan API Dropbox untuk komunikasi C2. Namun,  tampaknya ada sedikit kode yang tumpang tindih di antara keduanya, kata mereka. Penggunaan pagar pembatas oleh

NimbleMamba untuk memastikan bahwa semua korban yang terinfeksi berada dalam wilayah target TA402 juga unik, seperti halnya penggunaan API Dropbox untuk C2 maupun eksfiltrasi , para peneliti menulis di post.

“Malware ini juga berisi banyak kemampuan yang dirancang untuk memperumit analisis otomatis dan manual,” tulis mereka. “Berdasarkan hal ini, Proofpoint menilai NimbleMamba sedang aktif dikembangkan, terpelihara dengan baik, dan dirancang untuk digunakan dalam kampanye pengumpulan intelijen yang sangat bertarget.”