Активная шпионская кампания была приписана злоумышленнику, известному как Molerats, который злоупотребляет законными облачными сервисами, такими как Google Drive и Dropbox, для размещения полезной нагрузки вредоносного ПО, а также для управления и контроля и кражи данных от целей на Ближнем Востоке.
Считается, что кибернаступление ведется как минимум с июля 2021 года. согласно облачной компании по информационной безопасности Zscaler, продолжая предыдущие усилия хакерской группой для проведения разведки целевых хостов и кражи конфиденциальной информации.
Молераты, также отслеживаемая как TA402, Gaza Hackers Team и Extreme Jackal, представляет собой группу продвинутых постоянных угроз (APT), которая в основном сосредоточена на организациях, действующих на Ближнем Востоке. Активность атаки, связанная с субъектом, использует геополитические и военные темы, чтобы побудить пользователей открывать вложения Microsoft Office и переходить по вредоносным ссылкам.
Последняя кампания, подробно описанная Zscaler, не отличается тем, что использует темы-приманки, связанные с продолжающимися конфликтами между Израилем и Палестиной, для доставки бэкдора .NET на зараженные системы, который, в свою очередь, использует API Dropbox для установления связи с сервер, контролируемый противником, и передавать данные.
Имплантат, использующий специальные коды команд для захвата скомпрометированной машины, поддерживает возможности делать снимки, составлять список и загружать файлы в соответствующие каталоги, а также выполнять произвольные команды. Исследуя инфраструктуру атаки, исследователи заявили, что обнаружили как минимум пять учетных записей Dropbox, используемых для этой цели.
«Цели этой кампании были выбраны злоумышленником специально, и в их число входили критически настроенные представители банковского сектора Палестины, люди, связанные с палестинскими политическими партиями, а также правозащитники и журналисты в Турции», — исследователи Zscaler ThreatLabz Сахил Антил и Судип. — сказал Сингх.
Источник: https://thehackernews.com/2022/01/molerats-hackers-hiding-new-espionage.html
