Posté le avril 7, 2022 à 9:03
LES HACKERS SE FONT PASSER POUR DES FEMMES COQUETTES POUR CIBLER LES HAUTS FONCTIONNAIRES ISRAÉLIENS
Le célèbre groupe de hackers APT-C-23 a été découvert en train de cibler des hauts fonctionnaires Israéliens, notamment dans les domaines de la défense, des services d’urgence et du droit. Le groupe de hackers soutenu par le Hamas a été découvert en train d’hameçonner des fonctionnaires Israéliens, ce qui a conduit au déploiement de nouveaux logiciels malveillants.
La menace implique des tactiques d’ingénierie sociale de haut niveau, telles que des engagements à long terme avec la cible après avoir créé un faux profil sur les médias sociaux. Une fois qu’ils ont gagné la confiance de la cible, les hackers poursuivent leurs intentions de diffuser des logiciels espions.
Les analystes de Cybereason, qui ont été les premiers à découvrir la campagne et l’ont baptisée « Operation Bearded », ont déclaré que le groupe de hackers déploie également de nouvelles portes dérobées pour les appareils Android et les systèmes Windows à des fins de cyberespionnage.
Les actions du groupe sont motivées par des intérêts politiques
APT-C-23 est également connu sous les noms de Two-tailed Scorpion, Desert Falcon et AridViper. Il s’agit d’un groupe de menaces persistantes avancées (APT) à caractère politique, actif principalement au Moyen-Orient.
Par le passé, le groupe a été découvert en train de mener des attaques de spear-phishing contre des établissements d’enseignement Palestiniens, l’armée et les forces de l’ordre. Le groupe APT a également attaqué l’Agence de sécurité Israélienne (ISA) par le passé.
Au début de l’année, les chercheurs de Cisco Talos ont découvert les attaques Desert Falcon contre des militants liés au conflit Israélo-Palestinien. Et hier, l’équipe de recherche de Nocturnus Research de Cybereason a publié une autre découverte sur le groupe de menaces et ses dernières activités.
L’activité récente a été baptisée « Operation Bearded Barbie », car elle cible des Israéliens sélectionnés en compromettant leurs systèmes et en volant des données sensibles.
Selon les chercheurs, les MoleRAT et le groupe AOT-C-23 sont des sous-ensembles d’AOT de la division de cyberguerre du Hamas, qui travaille sur la base des instructions du gouvernement Palestinien.
Cybereason a également noté que le groupe utilise d’abord la méthode de piratage par ingénierie sociale avant d’implanter le logiciel malveillant sur l’ordinateur de la victime. Selon les chercheurs, le groupe APT effectue une reconnaissance sur une victime et crée de faux comptes de médias sociaux Facebook. Ensuite, ils tentent de tromper la cible en l’incitant à télécharger une offre qui, à son insu, contient un cheval de Troie. Dans la plupart des cas, les hackers créent une fausse identité qui semble être une jeune femme.
Les discussions commencent généralement sur Facebook et passent à WhatsApp. À partir de là, le catfish initie ou suggère aux deux parties de communiquer en utilisant un service de messagerie plus privé. Dans une autre méthode d’attaque, le groupe utilise une vidéo sexuelle jointe à l’archive malveillante .RAR.
L’APT utilise désormais des techniques d’attaque plus avancées
Les chercheurs ont également déclaré que le groupe APT a amélioré ses armes d’attaque et ajouté deux nouveaux outils – BarbWire Backdoor et Barbie Downloader. Ils ont également ajouté une nouvelle variante d’implant appelée VolatileVenom.
BarbWire Backdoor est décrit comme une souche de logiciel malveillant « très performante », capable d’atteindre des niveaux élevés d’obscurcissement via la protection des processus, le hachage des API, ainsi qu’un cryptage fort.
Il exécute diverses fonctions de surveillance telles que l’enregistrement, l’écoute audio, la capture d’écran et l’enregistrement des frappes.
En outre, la variante du logiciel malveillant est suffisamment sophistiquée pour persister sur un appareil infecté. Selon les chercheurs, les autres fonctions qu’elle peut remplir efficacement comprennent l’exfiltration de données, le téléchargement de charges utiles supplémentaires de logiciels malveillants, la programmation de tâches et le cryptage de contenu.
D’autre part, le Barbie Downloader est utilisé pour installer la porte dérobée BarbWire et peut être livré via la vidéo de leurre. Le logiciel malveillant est capable d’effectuer plusieurs vérifications anti-analyse, y compris l’analyse de la présence de sandboxes. Une fois l’analyse terminée, il peut procéder à l’installation de la porte dérobée.
Leurs activités rendent le groupe APT plus sophistiqué
L’outil collecte également des informations de base sur le système d’exploitation (OS) et les transmet au serveur de commande et de contrôle (C2) de l’acteur de la menace.
La porte dérobée recherche généralement des vidéos, des images, des fichiers PDF et des documents Microsoft Office sur le système compromis et tout appareil connecté.
La nouvelle variante de VolatileVenom a également été repérée par Cybereason. Il s’agit d’un logiciel malveillant Android qui est implanté lors de l’installation de l’application de messagerie « discrète ». Le logiciel malveillant a été conçu pour effectuer de la surveillance et du vol.
VolatileVenom est capable de compromettre les fonctions micro et audio d’un appareil Android. Il peut également enregistrer les textes et les appels passés sur WhatsApp, et lire les notifications d’Instagram, Telegram, WhatsApp, Facebook et d’autres plateformes de médias sociaux.
VolatileVenom peut également lire les listes de contacts et voler des informations, notamment des identifiants d’applications, des fichiers et des SMS. En outre, le logiciel malveillant peut utiliser l’appareil photo de l’appareil pour prendre des photos, télécharger des fichiers sur l’appareil et s’immiscer dans les connexions WiFi. Il est donc très sophistiqué, car il peut faire presque tout ce qu’il veut sur un système compromis, notent les chercheurs.
