LATEST NEWS

- News from the industry

Politisk motiverad hotaktör

Samlar in underrättelser med nya metoder
Cybersäkerhetsföretaget Proofpoint har nyligen observerat förändrad aktivitet från en hotaktör som riktar sig mot främst västasiatiska regeringar, och som använder en komplex infektionskedja baserad på att leverera en skadlig programvara kallad IronWind.

Hotaktörer kallas för TA402, och är även känd som Gaza Cybergang, Molerats, Frankenstein eller Wirte. Proofpoint-forskare bedömer att TA402 verkar för att stötta palestinska terroristgrupper med fokus på underrättelseinsamling. Man varnar för att TA402 är både uthållig och innovativ, och med jämna mellanrum förändrar sina attackmetoder och gör korrigerar i den skadliga programvara man använder.

Just det har man nu observerat med fallet IronWind – som används för att ladda ned skalkod till infekterade system. Där har man börjat använda sig av XLL- och RAR-filbilagor i sina nätfiskekampanjer istället för Dropbox-länkar, som tidigare varit vanligt förekommande från gruppen.

"Den här hotaktören har konsekvent engagerat sig i extremt riktad aktivitet och förföljt färre än fem organisationer med en enda kampanj", skriver Proofpoint-forskare i sin rapport.
Trots den nuvarande konflikten i regionen har Proofpoint inte observerat några förändringar kring vilka måltavlor TA402 väljer att fokusera på. Men det möjligt att TA402 kommer att fördela om sina resurser i takt med utvecklingen.

Kampanjerna som observerats 2023 påminner om historisk TA402-aktivitet och behåller fokus på arabisktalande mål i Mellanöstern. Under åren har TA402 konsekvent riktat in sig på statliga enheter baserade i Mellanöstern och Nordafrika, och har ibland riktat sig mot samma mål upprepade gånger.

E-postmeddelandena använder i regel social ingenjörskonst med ekonomisk tema, såsom "Ekonomiskt samarbete med länderna i Gulf Cooperation Council 2023-2024" eller "Lista över personer och enheter (utsedda som terrorister) av Anti-Money Laundering and Terrorist Financing Authority .”

De kommer levererade med skadliga länkar eller filer som innehåller makron som installerar tre filer: version.dll (IronWind), timeout.exe och gatherNetworkInfo.vbs. När filen väl har laddats på sidan börjar IronWinds kommunicera med kontroll- och kommandoservern, som tillhandahåller skalkod för det tredje steget av infektion.

Hela rapporten finns att läsa här.

LATEST NEWS

- News from the industry
2/26/2024
Klarar snöröjning i tuffa förhållandenSkärande verktyg för precision och effektivitetSäkerhetsoro bland svenska konsumenter Eaton lanserar DC snabb­laddare för elfordonBröderna Sjögrens Trafik firar 100 år som företag
2/23/2024
Forma framtiden med plåtbockning i 3DLuftfilterlösningar och aggregat för extrema miljöerUtforska vattenskärares mångsidighet och precisionISOBUS: En revolution för jordbruksmaskinerengcon lanserar ny storlek på markvibrator
2/22/2024
Förbättra din arbetsmiljöKvalitetssäkrade begagnade maskiner Tydlighet vid installations­märkningCarita Nero blir ny vd på KlaravikÖka effektiviteten i din tillverkningsprocess
2/21/2024
Det är viktigt att förstå termografins användbarhetFörsäkra dig om att hörseln inte tar skada vid arbetetUpptäck våra senaste produkterEn ny hydraul­cylinder eller renovera de befintliga? Mångsidiga verktyg för formning och bockning
2/20/2024
Effektiva lösningar för industriell luftkomprimeringEn väsentlig kugg i energi­försörjningens maskineriINTELLilight - Testa dig fram för bästa ljuset för stundenStranda AB har investerat i en ny bandsågautomatRätt lyftverktyg är kritiskt för effektiva lyftningar