Overheidsinstanties in het Midden-Oosten zijn het doelwit van nieuwe phishing-campagnes die zijn ontworpen om een nieuwe downloader voor initiële toegang te leveren, genaamd IjzerWind.
De activiteit, gedetecteerd tussen juli en oktober 2023, is door Proofpoint toegeschreven aan een bedreigingsacteur die het volgt onder de naam TA402ook bekend als Molerats, Gaza Cyber Gang, en deelt tactische overlappingen met een pro-Hamas hackersploeg die bekend staat als APT-C-23 (ook bekend als Arid Viper).
“Als het gaat om op staten gerichte dreigingsactoren, trekken Noord-Korea, Rusland, China en Iran over het algemeen het leeuwendeel van de aandacht”, zegt Joshua Miller, senior dreigingsonderzoeker bij Proofpoint, in een verklaring gedeeld met The Hacker News.
“Maar TA402, een groep voor geavanceerde persistente dreigingen (APT) uit het Midden-Oosten die historisch gezien heeft geopereerd in de belangen van de Palestijnse Gebieden, heeft consequent bewezen een intrigerende dreigingsactoren te zijn die in staat zijn tot zeer geavanceerde cyberspionage met de nadruk op het verzamelen van inlichtingen.”
Samenvallend met het gebruik van IronWind zijn er consistente updates van de mechanismen voor het afleveren van malware, waarbij gebruik wordt gemaakt van Dropbox-links, XLL-bestandsbijlagen en RAR-archieven om IronWind te distribueren.
Het gebruik van IronWind is een verschuiving ten opzichte van eerdere aanvalsketens, die gekoppeld waren aan de verspreiding van een achterdeur met de codenaam NimbleMamba bij inbraken gericht op regeringen uit het Midden-Oosten en denktanks voor buitenlands beleid.
De nieuwste campagnes van TA402 worden gekenmerkt door het gebruik van een gecompromitteerd e-mailaccount van het Ministerie van Buitenlandse Zaken om phishing-lokmiddelen te verzenden die verwijzen naar Dropbox-links die de inzet van IronWind vergemakkelijken.
De downloader is ontworpen om contact op te nemen met een door de aanvaller bestuurde server om extra payloads op te halen, inclusief een post-exploitatietoolkit genaamd SharpSploit, volgens een reeks van meerdere fasen.
Latere social engineering-campagnes in augustus en oktober 2023 bleken gebruik te maken van XLL-bestands- en RAR-archiefbijlagen die zijn ingebed in e-mailberichten om de implementatie van IronWind te activeren. Een andere opmerkelijke tactiek die door de groep wordt toegepast, is de afhankelijkheid van geofencing-technieken om detectie-inspanningen te bemoeilijken.
“Het aanhoudende conflict in het Midden-Oosten lijkt hun lopende activiteiten niet te hebben belemmerd, omdat ze doorgaan met het herhalen en gebruiken van nieuwe en slimme leveringsmethoden om detectie-inspanningen te omzeilen”, aldus Miller.
“Door gebruik te maken van complexe infectieketens en nieuwe malware op te trommelen om hun doelen aan te vallen, blijft TA402 zich bezighouden met uiterst gerichte activiteiten met een sterke focus op overheidsinstanties in het Midden-Oosten en Noord-Afrika.”
De ontwikkeling komt op het moment dat Cisco Talos onthulde dat cybercriminelen de ‘Release scores’-functie van Google Forms-quizzen misbruiken om e-mail te bezorgen en uitgebreide cryptocurrency-zwendel te orkestreren, waarbij de creatieve manieren worden benadrukt waarop bedreigingsactoren hun toevlucht nemen om hun doelstellingen te bereiken.
“De e-mails zijn afkomstig van de eigen servers van Google en kunnen daardoor gemakkelijker de antispambeveiliging omzeilen en de inbox van het slachtoffer vinden”, zei beveiligingsonderzoeker Jaeson Schultz vorige week.
