Högt uppsatta israeliska tjänstemän får catfish i en ny cyberspionagekampanj som lanserats av APT-C-23.
AridViper, även känd som APT-C-23, Desert Falcon, och Two-tailed Scorpion, är en politiskt styrd grupp för avancerad ihållande hot (APT) aktiv i Mellanöstern.
Tidigare har AridViper genomfört spjutfiskeattacker mot palestinska brottsbekämpande myndigheter, militärer och utbildningsinrättningar, såväl som Israels säkerhetsbyrå (ISA). I februari avslöjade Cisco Talos-forskare AridViper-attacker mot aktivister associerade med Israel-Palestina-konflikten.
På torsdagen publicerade Cybereasons Nocturnus Research Team nya rön om APT:s senaste aktiviteter.
Den senaste kampanjen, kallad “Operation Bearded Barbie”, riktar sig till “noggrant utvalda” israeliska individer för att äventyra sina datorer och mobila enheter, spionera på deras aktiviteter och stjäla känslig data.
Forskarna säger att APT-C-23-gruppen, tillsammans med MoleRATs, är undergrupper av APT:er av Hamas cyberwarfare-division och arbetar för att gynna den palestinska politiska gruppen.
Operationens offer inkluderar personer som arbetar inom Israels försvars-, brottsbekämpande- och räddningstjänstsektorer.
Enligt Cybereason bygger det första steget i APT-C-23-attacker på social ingenjörskonst: efter att ha genomfört spaning på ett offer skapar gruppen falska Facebook-konton på sociala medier, tar kontakt och försöker locka målet att ladda ner trojaniserade meddelandeappar.
I vissa fall skapas havskattprofilerna för att framstå som unga kvinnor.
Chattar flyttas från Facebook till WhatsApp, och därifrån föreslår havskatten en mer “diskret” meddelandetjänst. En annan attackvektor är lockelsen av en sexuell video förpackad i ett skadligt .RAR-arkiv.
APT har också uppgraderat sina cybervapen. I synnerhet två nya verktyg — Barb(ie) Downloader och BarbWire Backdoor — och en ny implantatvariant, VolatileVenom, är värda att utforska.
Barb(ie) Downloader levereras genom lockvideon och används för att installera BarbWire-bakdörren. Skadlig programvara kommer att utföra flera antianalyskontroller, inklusive en genomsökning efter virtuella maskiner (VM) eller förekomsten av sandlådor, innan du fortsätter med bakdörrsinstallationen. Barb(ie) kommer också att samla in grundläggande OS-information och skicka den till angriparens kommando-och-kontroll-server (C2).
BarbWire Backdoor beskrivs som en “mycket kapabel” skadlig kod med höga nivåer av obfuskation som uppnås genom strängkryptering, API-hashning och processskydd.
BarbWire utför olika övervakningsfunktioner, inklusive tangentloggning, skärmdumpning och ljudavlyssning och inspelning. Dessutom kan varianten av skadlig programvara bibehålla uthållighet på en infekterad enhet, schemalägga uppgifter, kryptera innehåll, ladda ner ytterligare skadlig programvara och exfiltrera data.
Bakdörren kommer specifikt att leta efter Microsoft Office-dokument, .PDF-filer, arkiv, bilder och videor på den komprometterade maskinen och alla anslutna externa enheter.
Cybereason upptäckte också nya VolatileVenom-varianter. VolatileVenom är skadlig programvara för Android som serveras under installationen av den “diskreta” meddelandeappen och har utformats för att utföra övervakning och stöld.
VolatileVenom kan äventyra en Android-enhets mikrofon- och ljudfunktioner, spela in samtal och tester gjorda över WhatsApp, läsa aviseringar från WhatsApp, Facebook, Telegram, Instagram, Skype, IMO och Viber; läs kontaktlistor och stjäl information inklusive SMS, filer och appreferenser.
Dessutom kan skadlig programvara extrahera samtalsloggar, använda kameran för att ta bilder, manipulera WiFi-anslutningar och ladda ner filer till enheten.
“Det “snäva greppet” om deras mål vittnar om hur viktig och känslig den här kampanjen var för hotaktörerna, kommenterade Cybereason. “Denna kampanj visar ett avsevärt steg upp i APT-C-23-kapaciteten, med uppgraderad smyg, mer sofistikerad skadlig programvara och perfektion av deras sociala ingenjörstekniker som involverar stötande HUMINT-funktioner med hjälp av ett mycket aktivt och välvårdat nätverk av falska Facebook-konton som har visat sig vara ganska effektiva för gruppen.”
Se även
Har du ett tips? Kom i kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
