MoleRats APT Luncurkan Kampanye Spy pada Bankir, Politisi, Jurnalis

File
Malicious yang direkayasa agar terlihat seperti konten yang sah terkait dengan konflik Israel-Palestina digunakan untuk menargetkan orang-orang Palestina terkemuka, serta aktivis dan jurnalis di Turki, dengan spyware.

Itu menurut pengungkapan dari Zscaler, yang mengaitkan serangan siber dengan Ancaman persisten tingkat lanjut (APT) MoleRats. Tim peneliti Zscaler mampu mengikat MoleRats, sebuah kelompok berbahasa Arab dengan sejarah menargetkan kepentingan Palestina, untuk kampanye ini karena tumpang tindih dalam payload .NET dan server command-and-control (C2) dengan serangan APT MoleRats sebelumnya.

Ini kampanye dimulai Juli lalu, Zscaler melaporkan.

MoleRats menggunakan API Dropbox untuk komunikasi C2 di kampanye ini dan sebelumnya, serta Google Drive dan layanan hosting cloud mapan lainnya untuk menampung muatan, menurut Zscaler.

“Target dalam ini kampanye dipilih secara khusus oleh aktor ancaman dan mereka termasuk anggota penting dari sektor perbankan di Palestina, orang-orang yang terkait dengan partai politik Palestina, serta aktivis hak asasi manusia dan jurnalis di Turki,” analis Zscaler menemukan.
The MoleRats Attack Chain. Sumber: Zscaler.

Para analis juga menemukan data sertifikat SSL domain yang tumpang tindih dalam serangan ini dan serangan MoleRats yang diketahui sebelumnya, serta domain umum yang digunakan untuk resolusi DNS pasif, tambah laporan itu.

Serangan itu mengirimkan umpan berbahaya konten berbahasa Arab yang tampaknya terkait dengan konflik Palestina dengan Israel, dengan kode makro, yang mengeksekusi perintah PowerShell untuk mengambil malware:

Pengiriman Backdoor MoleRats Baru

Setelah dieksekusi, malware membuat pintu belakang ke perangkat korban dan mengunduh kontennya ke folder Dropbox, menurut para peneliti , yang melaporkan menemukan setidaknya lima Dropbox yang saat ini digunakan oleh penyerang.

Zscaler melacak rantai serangan kembali melalui Dropbox dan menemukan bahwa mesin APT beroperasi di Belanda dengan subnet IP yang sama dengan C2, bersama dengan domain yang digunakan di MoleRats sebelumnya Kampanye APT.

Serangan MoleRats terbaru menunjukkan beberapa inovasi dibandingkan kampanye sebelumnya gns dalam pengiriman pintu belakang, menurut report.

“Meskipun kami tidak yakin bagaimana file .RAR/.ZIP ini dikirim, mengingat serangan sebelumnya, file tersebut kemungkinan dikirim menggunakan PDF phishing,” tim Zscaler menentukan.

Laporan Zscaler datang di tengah ledakan serangan APT baru-baru ini, yang naik lebih dari 50 persen selama setahun terakhir. Itu sebagian besar didorong oleh serangan Log4Shell, menurut Check Point Research.

baru-baru ini