Hamas-gekoppelde hackers die zich richten op hooggeplaatste Israëli’s die ‚meerval‘-lokmiddelen gebruiken

Operatie Bebaarde Barbie Nachrichten

Een dreigingsactor met banden met de cyberoorlogsdivisie van Hamas is in verband gebracht met een „uitgebreide campagne“ gericht op vooraanstaande Israëlische personen die werkzaam zijn bij gevoelige defensie-, wetshandhavings- en hulpdiensten.

„De campagne-operators gebruiken geavanceerde social engineering-technieken, die er uiteindelijk op gericht zijn om voorheen ongedocumenteerde achterdeuren voor Windows- en Android-apparaten te leveren“, zegt cyberbeveiligingsbedrijf Cybereason. zei in een bericht van woensdag.

„Het doel van de aanval was om gevoelige informatie uit de apparaten van de slachtoffers te halen voor spionagedoeleinden.“

De maandenlange inbraken, met de codenaam „Operatie Bebaarde Barbie‚ zijn toegeschreven aan een Arabisch sprekende en politiek gemotiveerde groep genaamd Arid Viper, die opereert vanuit het Midden-Oosten en ook bekend is onder de bijnamen APT-C-23 en Desert Falcon.

Meest recentelijk werd de dreigingsactor verantwoordelijk gehouden voor aanvallen gericht op Palestijnse activisten en entiteiten die rond oktober 2021 begonnen met gebruikmaking van phishing-e-mails met een politiek thema en lokdocumenten.

De nieuwste infiltraties vallen op door hun specifieke focus op het plunderen van informatie van computers en mobiele apparaten van Israëlische individuen door hen te verleiden tot het downloaden van trojanized messaging-apps, waardoor de acteurs onbelemmerde toegang krijgen.

De social engineering-aanvallen omvatten het gebruik van nep-persona’s op Facebook, waarbij werd vertrouwd op de tactiek van catfishing om fictieve profielen van aantrekkelijke jonge vrouwen op te zetten om het vertrouwen van de beoogde personen te winnen en vriendschap met hen te sluiten op het platform.

„Na het vertrouwen van het slachtoffer te hebben gewonnen, stelt de exploitant van het nep-account voor om het gesprek van Facebook naar WhatsApp te migreren“, legden de onderzoekers uit. „Hierdoor krijgt de telefoniste snel het mobiele nummer van het doelwit.“

Zodra de chat verschuift van Facebook naar WhatsApp, stellen de aanvallers de slachtoffers voor om een ​​beveiligde berichten-app voor Android (genaamd „VolatileVenom“) te installeren en een RAR-archiefbestand te openen met expliciete seksuele inhoud die leidt tot de inzet van een malware-downloader genaamd Barb(ie).

Andere kenmerken van de campagne waren dat de groep gebruikmaakt van een geüpgraded arsenaal aan malwaretools, waaronder de BarbWire Backdoor, die wordt geïnstalleerd door de downloadermodule.

De malware dient als een hulpmiddel om de machine van het slachtoffer volledig te compromitteren, waardoor het persistentie kan vaststellen, opgeslagen informatie kan verzamelen, audio kan opnemen, screenshots kan maken en extra payloads kan downloaden, die allemaal worden teruggestuurd naar een externe server.

VolatileVenom, aan de andere kant, is Android-spyware waarvan bekend is dat het legitieme berichten-apps vervalst en zich voordoet als systeemupdates en die sinds ten minste 2017 door Arid Viper in verschillende campagnes wordt gebruikt.

Een voorbeeld van zo’n malafide Android-app heet ‚Wink Chat‘, waarbij slachtoffers die zich proberen aan te melden om de applicatie te gebruiken een foutmelding krijgen dat ‚de installatie wordt verwijderd‘, alleen om heimelijk op de achtergrond te draaien en een grote verscheidenheid aan gegevens van de mobiele apparaten.

„De aanvallers gebruiken een volledig nieuwe infrastructuur die verschilt van de bekende infrastructuur die wordt gebruikt om Palestijnen en andere Arabisch-sprekenden aan te vallen“, aldus de onderzoekers.

„Deze campagne laat een aanzienlijke verbetering zien in de mogelijkheden van APT-C-23, met verbeterde stealth, meer geavanceerde malware en perfectie van hun social engineering-technieken, waarbij aanstootgevende HUMINT-mogelijkheden worden gebruikt met behulp van een zeer actief en goed verzorgd netwerk van nep-Facebook-accounts. die zijn bewezen heel effectief voor de groep.“

David
Rate author
Hackarizona