Een cyberspionagegroep die in het verleden banden had met de Palestijnse terroristische organisatie Hamas nam een pauze nadat zijn activiteiten afgelopen zomer werden blootgelegd en keerde terug met nieuwe tools en technieken.
Volgens het enterprise-beveiligingsbedrijf Proofpoint nam de dreigingsactor die bekend staat als Molerats blijkbaar een korte pauze nadat het bedrijf in juni 2021 informatie over zijn activiteiten had vrijgegeven. Tijdens die pauze heeft het zijn malware en leveringsmechanismen bijgewerkt.
Molerats is in ieder geval sinds 2011 actief en richt zich op het Midden-Oosten. Het wordt ook gevolgd als Gaza Hackers Team, Gaza Cybergang, DustySky, Extreme Jackal, Moonlight en TA402 - sommige onderzoekers geloven dat er meerdere groepen onder dezelfde paraplu opereren.
Het is vermeldenswaard dat de activiteiten van Molerats vaak worden blootgelegd door cyberbeveiligingsbedrijven en onderzoekers, maar dat lijkt de dreigingsactor niet te hebben ontmoedigd. In 2019 slaagde Kaspersky er zelfs in om ontwrichten een aanzienlijk deel van de infrastructuur die werd gebruikt door de cyberspionnen en in hetzelfde jaar beweerde Israël te hebben een gebouw gebombardeerd huisvesting van Hamas-cyberagenten als reactie op een cyberaanval.
In een blogpost die dinsdag werd gepubliceerd, zei Proofpoint dat de hackers blijkbaar een implantaat met de naam LastConn hebben vervangen door een nieuwe die het cyberbeveiligingsbedrijf heeft genoemd BehendigeMamba. De malware werd eind 2021 gebruikt bij aanvallen gericht op entiteiten in het Midden-Oosten, waaronder regeringen, denktanks voor buitenlands beleid en een aan de staat gelieerde luchtvaartmaatschappij.
Proofpoint-onderzoekers ontdekten dat hoewel NimbleMamba en LastConn enkele overeenkomsten hebben, er weinig overlap is tussen de twee als het gaat om code.
“NimbleMamba heeft de traditionele mogelijkheden van een trojan voor het verzamelen van inlichtingen en is waarschijnlijk ontworpen als eerste toegang. Functionaliteiten zijn onder meer het maken van screenshots en het verkrijgen van procesinformatie van de computer. Bovendien kan het gebruikersinteractie detecteren, zoals het zoeken naar muisbewegingen”, legt Proofpoint uit.
De malware is zowel via kwaadwillende websites als via Dropbox afgeleverd - de service voor het delen van bestanden is ook misbruikt voor command and control (C&C) en bestandsexfiltratie. Onderzoekers ontdekten ook dat NimbleMamba "vangrails" gebruikt om ervoor te zorgen dat het alleen apparaten in specifieke landen in het Midden-Oosten en Afrika infecteert.
"De malware bevat ook meerdere mogelijkheden die zijn ontworpen om zowel geautomatiseerde als handmatige analyse te compliceren", aldus onderzoekers. "Op basis hiervan beoordeelt Proofpoint dat NimbleMamba actief wordt ontwikkeld, goed wordt onderhouden en is ontworpen voor gebruik in zeer gerichte campagnes voor het verzamelen van inlichtingen."
Onlangs publiceerde Zscaler ook een rapport over: nieuwe spionageoperaties uitgevoerd door Molerats, gericht op de banksector in Palestina, individuen die banden hebben met Palestijnse politieke partijen, evenals mensenrechtenactivisten en journalisten in Turkije. Proofpoint is van mening dat de aanvallen die het heeft geanalyseerd, gelijktijdig plaatsvonden met de activiteit die door Zscaler is beschreven.
Zie ook: APT Group gebruikt stemveranderende software in Spear-Phishing-campagne
Zie ook: Nieuwe backdoors gebruikt door Hamas-gelinkte hackers misbruiken Facebook, Dropbox
Zie ook: Hamas-gekoppelde hackers voegen verzekeringen en detailhandel toe aan doellijst
Zie ook: Nieuwe achterdeuraanvallen maken gebruik van politieke onrust in het Midden-Oosten
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags:
