https://thehackernews.com/2022/02/palestinian-hackers-using-new.html
パレスチナと一致する可能性が高い動機で活動している高度な持続的脅威(APT)ハッキンググループは、NimbleMambaと呼ばれる以前に文書化されていないインプラントを活用する新しいキャンペーンに着手しました。
マルウェアの埋め込みと配信方法を継続的に更新することで有名なAPTグループは、最近、パレスチナとトルコの人権活動家やジャーナリストを狙ったスパイ攻撃にリンクされていましたが、2021年6月に公開された以前の攻撃により、バックドアが配備されました。
LastConnと呼ばれます。
これは、SharpStageと呼ばれる別のバックドアのアップグレードバージョンであると考えられています。
これは、2020年12月のキャンペーンの一部として同じグループによって使用されました。
「NimbleMambaはガードレールを使用して、感染したすべての被害者がTA402のターゲット領域内にいることを確認します」と研究者は述べ、マルウェアは「コマンドアンドコントロールと抽出の両方にDropbox APIを使用する」と述べ、「高度にターゲットを絞ったインテリジェンス収集キャンペーンでの使用を示唆しています。 「」また、リモートサーバーとの通信を確立して感染したマシンで実行されるBase64でエンコードされたコマンドを取得する、BrittleBushと呼ばれるトロイの木馬も提供されます。さらに、攻撃は、パレスチナとトルコを標的とした前述の悪意のある活動と並行して発生したと言われています。感染シーケンスは、攻撃者が標的を危険にさらすために使用したのとまったく同じ手法を反映しています。開始点として機能するスピアフィッシングメールには、マルウェアのペイロードにつながるジオフェンスリンクが含まれていますが、受信者が対象地域の1つにいる場合に限ります。ターゲットが攻撃範囲外に住んでいる場合、リンクはユーザーをEmarat AlYoumのような良性のニュースWebサイトにリダイレクトします。ただし、2021年12月と2022年1月のキャンペーンの最近のバリエーションでは、Dropbox URLと攻撃者が制御するWordPressサイトを使用して、NimbleMambaとBrittleBushを含む悪意のあるRARファイルを配信しています。この開発は、Dropboxなどのクラウドサービスを使用して攻撃を開始する攻撃者の最新の例です。もちろん、高度な攻撃者が侵入方法の公開に迅速に対応して、セキュリティと検出を超える強力で効果的なものを作成することもできます。レイヤー。「TA402は、中東に焦点を当てたターゲットを絞ったキャンペーンでその持続性を実証する効果的な脅威アクターであり続けます」と研究者たちは結論付けました。 「[2つの]キャンペーンは、インテリジェンスターゲットに基づいて攻撃チェーンを変更するMoleratsの継続的な能力を示しています」この記事が面白いと思ったTHNをフォローするフェイスブック、ツイッターとLinkedIn私たちが投稿するより独占的なコンテンツを読むために。
パレスチナに同調したハッカーが最近の攻撃で新しいNimbleMambaインプラントを使用するnoreply@blogger.com(Ravie Lakshmanan)
security summary
コメント