image

Примерно в октябре 2021 началась новая волна кибератак на палестинские политические организации и отдельных активистов. В ней были задействованы фишинговые письма и поддельные документы

По мнению Cisco Talos эти атаки являются частью давней кампании по шпионажу и краже информации, проводимой хакерской группой Arid Viper с использованием имплантата Micropsia на базе Delphi, начавшейся ещё в июне 2017 года.

Деятельность угроз, также отслеживаемая под псевдонимами Desert Falcon и APT-C-23, была впервые задокументирована в феврале 2015 года компанией Kasperksy. И повторно — в 2017 году, когда Qihoo 360 раскрыла подробности о кросс-платформенных бэкдорах, разработанных группой для поражения палестинских учреждений.

Компания Касперского назвала Arid Viper «первой исключительно арабской APT-группой».

Затем, в апреле 2021 года, компания Meta (бывший Facebook), указав на связь группы с ХАМАС, приняла меры по удалению угрозы со своей платформы. Причиной было распространение мобильных вредоносов среди лиц, связанных с группами сторонников ФАТХ, палестинскими правительственными организациями, военными и сотрудниками служб безопасности, а также палестинскими студенческими группами.

image
Поддельный документ, содержащий текст о воссоединении (reunification) Палестины

Новые атаки проводились с применением той же тактики что и в 2017 и 2019 годах, что говорит об «определенном уровне успеха». Новые документы-наживки ссылаются на темы воссоединения Палестины и устойчивого развития территории. При открытии приводят к установке Micropsia на компьютер жертвы.

Этот бэкдор предназначен для предоставления операторам широкого диапазона возможностей по контролю за заражённым устройством, включая сбора конфиденциальной информации, выполнения команд, передаваемых извне, включая скриншоты, запись логов текущей активности и загрузка дополнительных файлов.

«Arid Viper — яркий пример групп, которые, не будучи технологически продвинуты,, становятся все более опасными по мере того, как отрабатывают на целях свои схемы и инструменты, совершенствуя их», — говорят исследователи Ашир Малхотра (Asheer Malhotra) и Витор Вентура (Vitor Ventura).

«Эти [бэкдоры] могут быть использованы для установления долгосрочного доступа к среде жертвы и развертывания более вредоносных программ, предназначенных для шпионажа, кражи информации и учетных данных».

Комментарии (0)