LATEST NEWS

- News from the industry

Politisk motiverad hotaktör

Samlar in underrättelser med nya metoder
Cybersäkerhetsföretaget Proofpoint har nyligen observerat förändrad aktivitet från en hotaktör som riktar sig mot främst västasiatiska regeringar, och som använder en komplex infektionskedja baserad på att leverera en skadlig programvara kallad IronWind.

Hotaktörer kallas för TA402, och är även känd som Gaza Cybergang, Molerats, Frankenstein eller Wirte. Proofpoint-forskare bedömer att TA402 verkar för att stötta palestinska terroristgrupper med fokus på underrättelseinsamling. Man varnar för att TA402 är både uthållig och innovativ, och med jämna mellanrum förändrar sina attackmetoder och gör korrigerar i den skadliga programvara man använder.

Just det har man nu observerat med fallet IronWind – som används för att ladda ned skalkod till infekterade system. Där har man börjat använda sig av XLL- och RAR-filbilagor i sina nätfiskekampanjer istället för Dropbox-länkar, som tidigare varit vanligt förekommande från gruppen.

"Den här hotaktören har konsekvent engagerat sig i extremt riktad aktivitet och förföljt färre än fem organisationer med en enda kampanj", skriver Proofpoint-forskare i sin rapport.
Trots den nuvarande konflikten i regionen har Proofpoint inte observerat några förändringar kring vilka måltavlor TA402 väljer att fokusera på. Men det möjligt att TA402 kommer att fördela om sina resurser i takt med utvecklingen.

Kampanjerna som observerats 2023 påminner om historisk TA402-aktivitet och behåller fokus på arabisktalande mål i Mellanöstern. Under åren har TA402 konsekvent riktat in sig på statliga enheter baserade i Mellanöstern och Nordafrika, och har ibland riktat sig mot samma mål upprepade gånger.

E-postmeddelandena använder i regel social ingenjörskonst med ekonomisk tema, såsom "Ekonomiskt samarbete med länderna i Gulf Cooperation Council 2023-2024" eller "Lista över personer och enheter (utsedda som terrorister) av Anti-Money Laundering and Terrorist Financing Authority .”

De kommer levererade med skadliga länkar eller filer som innehåller makron som installerar tre filer: version.dll (IronWind), timeout.exe och gatherNetworkInfo.vbs. När filen väl har laddats på sidan börjar IronWinds kommunicera med kontroll- och kommandoservern, som tillhandahåller skalkod för det tredje steget av infektion.

Hela rapporten finns att läsa här.

LATEST NEWS

- News from the industry
11/21/2024
Ny energidetektor IS50A-1KW-RMTHibouAir Fristående LuftkvalitetsmätareMiljövänliga avloppslösningarSveriges mest kända digitala lås Säkerhetsskyltar och markeringar
11/20/2024
Branschens snabbaste buntbandscyklerHöjdpunkter från EuroBLECH 2024Dynamisk svarvning i rostfritt stålPISA-MStora omvälvningar vän­tar för direktbetalningar
11/19/2024
Grönsta satsar på grönare växthus Attrahera bra personalInbrott i lokaler är ett växande problemProofpoint utser Jerome Jullien
11/18/2024
VätgasKeramiskt lackskyddPulverlackering i UppsalaPersienner StockholmSäkerhetsdörrar i Malmö
11/15/2024
Tillverkning av Kablage Styrbar borrning Relining i StockholmAsbestsanering i StockholmKöpa lastpallar