Получи случайную криптовалюту за регистрацию!

Symantec сообщают о новых кампаниях АРТ Arid Viper с обновленн | SecAtor

Symantec сообщают о новых кампаниях АРТ Arid Viper с обновленным набором вредоносных ПО, нацеленных на палестинские объекты начиная с сентября 2022 года.

Злонамеренная активность началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. При этом первоначальный вектор заражения для этой кампании остается неизвестным.

Известная также как APT-C-23, Deserts Falcons, Two-tailed Scorpion и отлеживаемая Symantec в качестве Mantis, группа на этот раз, по версии исследователей, развернула до трех разных версий собственных имплантатов Micropsia и Arid Gopher в системах жертв для взлома целей с последующей эксфильтрацией украденных данных.

Исполняемый файл Arid Gopher, закодированный на Go, представляет собой вариант вредоносного ПО Micropsia, впервые задокументированое Deep Instinct в марте 2022 года. Он предназначен для кражи информации, его главной целью является создание плацдарма для сбора конфиденциальной системной информации и отправки ее обратно на C2.

Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки, также реализует функции кейлогинга, создания скринов и сохранения файлов Microsoft Office в архивах RAR для эксфильтрации с помощью специального инструмента на основе Python.

В целом же, в арсенале Mantis целый спектр самописных вредоносных инструментов, таких как ViperRat, FrozenCell (VolatileVenom) и Micropsia, для реализации своих кампаний на платформах Windows, Android и iOS.

Кроме того, с апреля 2022 года Mantis вооружились новым бэкдором Windows под названием BarbWire, который использовался для атак на высокопоставленных израильских лиц из числа сотрудников объектов обороны, силовых структур и спецслужб.

Вредоносное ПО доставлялось жертвам посредством фишинговые рассылок и через фейковые аккаунты в соцсетях.

Как полагают Symantec АРТ продолжает предпринимать решительные шаги, включающие обширную переработку вредоносного ПО и дифференциацию инструментов в отношении различных категорий целей, делая это для сокрытия и поддержания постоянного присутствия в скомпрометированных сетях.

Однако, как известно AridViper считается палестинской хакерской группой, за которой, предположительно, стоит ХАМАС, а основная сфера заинтересованности APT, как мы уже не раз наблюдали, это, прежде всего, страны Ближнего Востока (особенно Израиль).

Отсюда вероятнее, что за последними активностями все же стоят израильтяне, решившие выступить под чужим флагом, копируя TTPs Mantis.
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.