Een APT-hackgroep (Advanced Persistent Threat) die opereert met motieven die waarschijnlijk in overeenstemming zijn met Palestina, is een nieuwe campagne begonnen die gebruikmaakt van een voorheen ongedocumenteerd implantaat genaamd NimbleMamba.
De inbraken maakten gebruik van een geavanceerde aanvalsketen die gericht was op regeringen in het Midden-Oosten, denktanks voor buitenlands beleid en een aan de staat gelieerde luchtvaartmaatschappij, het beveiligingsbedrijf Proofpoint. zei in een rapport, waarin de geheime operatie wordt toegeschreven aan een dreigingsactor die wordt gevolgd als Molerats (ook bekend als TA402).
De APT-groep, die berucht is vanwege het voortdurend bijwerken van hun malware-implantaten en hun leveringsmethoden, werd recentelijk in verband gebracht met een spionageoffensief gericht op mensenrechtenactivisten en journalisten in Palestina en Turkije, terwijl een eerdere aanval die in juni 2021 aan het licht kwam, resulteerde in de inzet van een achterdeur genaamd LastConn.
Maar de stilte in de activiteiten werd gecompenseerd door de operators die actief bezig waren hun arsenaal opnieuw uit te rusten, wat resulteerde in de ontwikkeling van NimbleMamba, dat is ontworpen om LastConn te vervangen, dat op zijn beurt wordt beschouwd als een verbeterde versie van een andere achterdeur genaamd SharpStage dat door dezelfde groep werd gebruikt als onderdeel van zijn campagnes in december 2020.
“NimbleMamba gebruikt vangrails om ervoor te zorgen dat alle geïnfecteerde slachtoffers zich binnen het doelgebied van de TA402 bevinden”, aldus de onderzoekers, terwijl ze de malware toevoegen. inzamelacties.”
Er wordt ook een trojan geleverd met de naam BrittleBush die communicatie tot stand brengt met een externe server om Base64-gecodeerde opdrachten op te halen die op de geïnfecteerde machines moeten worden uitgevoerd. Bovendien zouden de aanvallen samen met de eerder genoemde kwaadaardige activiteiten op Palestina en Turkije hebben plaatsgevonden.
De infectievolgorde weerspiegelt exact dezelfde techniek die door de dreigingsactor wordt gebruikt om zijn doelen in gevaar te brengen. De spear-phishing-e-mails, die als uitgangspunt dienen, bevatten geofenced-links die naar malware-payloads leiden, maar alleen als de ontvanger zich in een van de doelregio’s bevindt. Als de doelen buiten de aanvalsradius wonen, leiden de links de gebruiker om naar een goedaardige nieuwswebsite zoals Emarat Al Youm.
Bij recentere varianten van de campagne in december 2021 en januari 2022 zijn echter Dropbox-URL’s en door aanvallers gecontroleerde WordPress-sites gebruikt om kwaadaardige RAR-bestanden met NimbleMamba en BrittleBush te leveren.
De ontwikkeling is het nieuwste voorbeeld van kwaadwillenden die cloudservices, zoals Dropbox, gebruiken om hun aanvallen uit te voeren, om nog maar te zwijgen van hoe snel geavanceerde actoren kunnen reageren op openbare onthullingen van hun invasiemethoden om iets krachtigs en effectiefs te creëren dat verder gaat dan beveiliging en detectie lagen.
“TA402 blijft een effectieve dreigingsactor die zijn volharding aantoont met zijn zeer gerichte campagnes gericht op het Midden-Oosten”, concluderen de onderzoekers. “De [two] campagnes demonstreren het voortdurende vermogen van Molerats om hun aanvalsketen aan te passen op basis van hun inlichtingendoelen.”
