H APT hacking ομάδα TA402 έχει πραγματοποιήσει μια σειρά στοχευμένων επιθέσεων κυβερνοκατασκοπείας, από τον Ιούλιο έως τον Οκτώβριο του 2023, χρησιμοποιώντας ένα νέο initial access downloader πρόγραμμα που ονομάζεται IronWind.
Η Proofpoint που ανακάλυψε τις επιθέσεις, ονομάζει την hacking ομάδα TA402 (γνωστή και ως Molerats, Gaza Cybergang, Frankenstein, WIRTE), και λέει ότι οι hackers υποστηρίζουν συμφέροντα της Παλαιστίνης.
Αν και η ομάδα είναι ενεργή από το 2020, η τελευταία καμπάνια έδειξε σημάδια νέων τακτικών – ιδίως τη χρήση του IronWind΄.
Δείτε επίσης: Οι αρχές “χτύπησαν” την phishing υπηρεσία BulletProftLink
“Η TA402 χρησιμοποίησε τρεις παραλλαγές αυτής της αλυσίδας μόλυνσης – συνδέσμους Dropbox, συνημμένα αρχεία XLL και συνημμένα αρχεία RAR – με κάθε παραλλαγή να οδηγεί στη λήψη ενός DLL που περιέχει το πολυλειτουργικό κακόβουλο λογισμικό“, εξήγησε η Proofpoint.
Επιπλέον, σύμφωνα με την Proofpoint, η TA402 έχει απομακρυνθεί τώρα από τη χρήση υπηρεσιών cloud όπως το Dropbox API, που συνήθιζε να χρησιμοποιεί σε καμπάνιες το 2021 και το 2022. Στις νέες καμπάνιες, χρησιμοποιεί υποδομή που ελέγχεται από τους hackers για C2 [command-and-control] επικοινωνία.
Τα phishing emails που στέλνει η ομάδα στα θύματα, στέλνονται από έναν παραβιασμένο λογαριασμό του Υπουργείου Εξωτερικών, για να στοχεύσουν διάφορες κυβερνητικές οντότητες της Μέσης Ανατολής χρησιμοποιώντας ως δέλεαρ το Συμβούλιο Συνεργασίας του Κόλπου.
Τον Ιούλιο, η ομάδα χρησιμοποίησε έναν σύνδεσμο Dropbox στο phishing email για τη διανομή ενός κακόβουλου Microsoft PowerPoint Add-in (PPAM) file. Αυτό το αρχείο με τη σειρά του περιείχε μια μακροεντολή που εγκαθιστούσε τρία αρχεία. Ένα από αυτά, φόρτωνε το IronWind.
Δείτε επίσης: Οι Ιρανοί hackers MuddyWater στοχεύουν το Ισραήλ μέσω spear-phishing
Τον Αύγουστο, η hacking ομάδα TA402 άλλαξε τακτική, στέλνοντας ένα συνημμένο αρχείο XLL για τη φόρτωση του IronWind. Στη συνέχεια, τον Οκτώβριο, άλλαξε ξανά, στέλνοντας ένα συνημμένο αρχείο RAR που περιείχε μια μετονομασμένη έκδοση του tabcal.exe για να κατεβάσει το IronWind. Αυτή η τελευταία phishing εκστρατεία χρησιμοποίησε τον πόλεμο στη Γάζα ως δέλεαρ για πρώτη φορά.
“Προς το παρόν, η ομάδα TA402 φαίνεται να χρησιμοποιεί τη σύγκρουση μόνο για σκοπούς προσέλκυσης θυμάτων“, είπε η Proofpoint. “Επιπλέον, η TA402 συνεχίζει τις phishing επιθέσεις, υποδεικνύοντας ότι η σύγκρουση δεν έχει διαταράξει σημαντικά τις λειτουργίες του ομίλου“.
Phishing επιθέσεις: Πώς να προστατευτείτε;
Ένας αποτελεσματικός τρόπος για να προστατευτείτε από καμπάνιες phishing είναι να είστε προσεκτικοί με τα email που λαμβάνετε. Πριν ανοίξετε ή κάνετε κλικ σε οποιοδήποτε σύνδεσμο, ελέγξτε προσεκτικά τον αποστολέα και το περιεχόμενο του μηνύματος. Επίσης, αποφύγετε να απαντήσετε σε αιτήματα για προσωπικές πληροφορίες ή να αποκαλύψετε ευαίσθητες πληροφορίες μέσω email.
Ένα άλλο αποτελεσματικό μέτρο είναι να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης για τους λογαριασμούς σας. Επιλέξτε έναν μοναδικό συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων για τους κωδικούς σας. Επίσης, αλλάξτε τακτικά τους κωδικούς και μην χρησιμοποιείτε το ίδιο password για πολλούς λογαριασμούς.
Δείτε επίσης: Αύξηση των phishing emails κατά 1265%: Ο ρόλος του ChatGPT
Επιπλέον, είναι σημαντικό να εγκαταστήσετε ένα αξιόπιστο λογισμικό antivirus στη συσκευή σας. Αυτό το λογισμικό μπορεί να εντοπίσει και να μπλοκάρει κακόβουλα λογισμικά που προσπαθούν να εισχωρήσουν στη συσκευή. Αντίστοιχα, υπάρχουν και φίλτρα email που εντοπίζουν ύποπτες επικοινωνίες και προειδοποιούν για ύποπτους συνδέσμους ή αρχεία που μπορεί να περιέχουν κακόβουλο λογισμικό.
Τέλος, να είστε προσεκτικοί κατά την περιήγησή σας στο διαδίκτυο. Αποφεύγετε να κάνετε κλικ σε ύποπτους συνδέσμους ή να κατεβάζετε αρχεία από αναξιόπιστες πηγές. Επίσης, ενημερώστε το λειτουργικό σύστημα και το λογισμικό σας με τις τελευταίες ενημερώσεις ασφαλείας για να αποτρέψετε ευπάθειες που μπορεί να εκμεταλλεύονται οι κακόβουλοι χρήστες.
Πηγή: www.infosecurity-magazine.com