Cybersecurity-onderzoekers hebben vanaf oktober 2021 een nieuwe golf van offensieve cyberaanvallen gericht op Palestijnse activisten en entiteiten in de schijnwerpers gezet met behulp van phishing-e-mails met een politiek thema en lokdocumenten.
De inbraken maken deel uit van wat Cisco Talos een langdurige spionage- en informatiediefstalcampagne noemt die door de Arid Viper hackgroep met behulp van een op Delphi gebaseerd implantaat genaamd Micropsia dat helemaal teruggaat tot juni 2017.
De bedreigingsacteur activiteitenook gevolgd onder de namen Desert Falcon en de APT-C-23, werden voor het eerst gedocumenteerd in februari 2015 door Kasperksy en vervolgens in 2017, toen Qihoo 360 details van platformonafhankelijk achterdeuren ontwikkeld door de groep om Palestijnse instellingen aan te vallen.
Het Russische cyberbeveiligingsbedrijf noemde Arid Viper de ‘eerste exclusief Arabische APT-groep’.
Toen, in april 2021, Meta (voorheen Facebook), die wees op de banden van de groep met de cybertak van Hamaszei dat het stappen ondernam om de tegenstander van zijn platform te starten voor het verspreiden van mobiele malware tegen individuen die geassocieerd zijn met pro-Fatah-groepen, de Palestijnse overheidsorganisaties, militair en veiligheidspersoneel en studentengroepen in Palestina.
 |
| Lokdocument met tekst over Palestijnse hereniging |
De reeks nieuwe activiteiten is gebaseerd op dezelfde tactieken en documenten die de groep in 2017 en 2019 gebruikte, wat wijst op een “zeker niveau van succes”, ondanks een gebrek aan verandering in hun tooling. Recentere lokbestanden verwijzen naar thema’s van Palestijnse hereniging en duurzame ontwikkeling in het gebied die, wanneer ze werden geopend, leidden tot de installatie van Micropsia op gecompromitteerde machines.
De achterdeur is ontworpen om de operators een ongebruikelijk bereik van controle over de geïnfecteerde apparaten te geven, inclusief de mogelijkheid om gevoelige informatie te verzamelen en opdrachten uit te voeren die worden verzonden vanaf een externe server, zoals het maken van screenshots, het opnemen van het huidige activiteitenlogboek en het downloaden van extra payloads.
“Arid Viper is een goed voorbeeld van groepen die technologisch niet erg geavanceerd zijn, maar met specifieke motivaties, worden gevaarlijker naarmate ze in de loop van de tijd evolueren en hun tools en procedures op hun doelen testen”, aldus onderzoekers Asheer Malhotra en Vitor Ventura. .
“Deze [remote access trojans] kan worden gebruikt om langdurige toegang tot slachtofferomgevingen tot stand te brengen en daarnaast meer malware in te zetten voor spionage en het stelen van informatie en inloggegevens.”
