Politisk motiverad hotaktör

Samlar in underrättelser med nya metoder

Cybersäkerhetsföretaget Proofpoint har nyligen observerat förändrad aktivitet från en hotaktör som riktar sig mot främst västasiatiska regeringar, och som använder en komplex infektionskedja baserad på att leverera en skadlig programvara kallad IronWind.

Hotaktörer kallas för TA402, och är även känd som Gaza Cybergang, Molerats, Frankenstein eller Wirte. Proofpoint-forskare bedömer att TA402 verkar för att stötta palestinska terroristgrupper med fokus på underrättelseinsamling. Man varnar för att TA402 är både uthållig och innovativ, och med jämna mellanrum förändrar sina attackmetoder och gör korrigerar i den skadliga programvara man använder.

Just det har man nu observerat med fallet IronWind – som används för att ladda ned skalkod till infekterade system. Där har man börjat använda sig av XLL- och RAR-filbilagor i sina nätfiskekampanjer istället för Dropbox-länkar, som tidigare varit vanligt förekommande från gruppen.

"Den här hotaktören har konsekvent engagerat sig i extremt riktad aktivitet och förföljt färre än fem organisationer med en enda kampanj", skriver Proofpoint-forskare i sin rapport.
Trots den nuvarande konflikten i regionen har Proofpoint inte observerat några förändringar kring vilka måltavlor TA402 väljer att fokusera på. Men det möjligt att TA402 kommer att fördela om sina resurser i takt med utvecklingen.

Kampanjerna som observerats 2023 påminner om historisk TA402-aktivitet och behåller fokus på arabisktalande mål i Mellanöstern. Under åren har TA402 konsekvent riktat in sig på statliga enheter baserade i Mellanöstern och Nordafrika, och har ibland riktat sig mot samma mål upprepade gånger.

E-postmeddelandena använder i regel social ingenjörskonst med ekonomisk tema, såsom "Ekonomiskt samarbete med länderna i Gulf Cooperation Council 2023-2024" eller "Lista över personer och enheter (utsedda som terrorister) av Anti-Money Laundering and Terrorist Financing Authority .”

De kommer levererade med skadliga länkar eller filer som innehåller makron som installerar tre filer: version.dll (IronWind), timeout.exe och gatherNetworkInfo.vbs. När filen väl har laddats på sidan börjar IronWinds kommunicera med kontroll- och kommandoservern, som tillhandahåller skalkod för det tredje steget av infektion.

Hela rapporten finns att läsa här.

11/28/2023 - Industritorget