Novos backdoors usados por hackers vinculados ao Hamas abusam do Facebook, Dropbox
Dois novos backdoors foram atribuídos ao grupo Molerats Advanced Persistent Ameaça (APT), que se acredita estar associado à organização terrorista palestina Hamas.
Provavelmente ativo desde pelo menos 2012 e também conhecido como Gaza Hackers Team, Gaza Cybergang, DustySky , Extreme Jackal e Moonlight, o grupo atingiu alvos principalmente no Oriente Médio (incluindo Israel, Egito, Arábia Saudita, Emirados Árabes Unidos e Iraque), mas também lançou ataques a entidades na Europa e nos Estados Unidos.
No início de 2020, pesquisadores de segurança do grupo Nocturnus da Cybereason publicaram informações sobre duas novas famílias de malware usadas pelo APT, ou seja, Spark e Pierogi . Aproximadamente um mês depois, a Palo Alto Networks revelou que o grupo havia expandido sua lista de alvos para incluir seguros e setores de varejo, além dos setores governamentais e de telecomunicações anteriormente visados.
Agora, Cybereason revela que Molerats expandiu seu conjunto de ferramentas com a adição de dois backdoors chamados SharpStage e DropBook, junto com um downloader chamado MoleNet. Todas as três famílias de malware permitem que os invasores executem códigos arbitrários e coletem dados das máquinas infectadas e foram usados em uma campanha de espionagem visando ativamente indivíduos de língua árabe no Oriente Médio.
O que faz as backdoors se destacarem é o uso de serviços online legítimos para propósitos nefastos. Por exemplo, ambos usam um cliente Dropbox para exfiltração de dados e para armazenar ferramentas de espionagem, enquanto o DropBook é controlado por meio de contas falsas do Facebook. O Google Drive também é usado para armazenamento de carga útil.
Os pesquisadores de segurança também identificaram uma nova atividade voltada para entidades de língua turca com o backdoor Spark, bem como uma campanha separada na qual uma nova variante Pierogi é usada contra alvos também infectados com DropBook, SharpStage e Spark. A sobreposição sugere uma conexão próxima entre Molerats e APT-C-23 (Arid Viper), ambos considerados subgrupos de Gaza Cybergang.
“Os backdoors recém-descobertos foram entregues junto com o backdoor do Spark relatado anteriormente, que junto com outras semelhanças com campanhas anteriores, fortalece ainda mais a atribuição aos Molerats”, observa Cybereason.
As famílias de malware foram usadas para atingir figuras políticas e funcionários do governo nos Territórios Palestinos, Egito, Turquia e Emirados Árabes Unidos, entre outras regiões do Oriente Médio. As iscas de phishing usadas nesses ataques incluem as eleições do Hamas, relações entre israelenses e sauditas, políticos palestinos e outros eventos políticos.
Amostras observadas de SharpStage, um backdoor .NET, mostram timestamps de compilação entre 4 de outubro e 29 de novembro de 2020. O malware pode capturar screenshots, baixar e executar arquivos, executar comandos arbitrários e desarquivar dados obtidos do C&C.
Construído pelo desenvolvedor por trás do JhoneRAT, o DropBook é um backdoor baseado em Python, capaz de realizar reconhecimento, executar comandos shell e baixar e executar malware adicional. A ameaça só é executada se o WinRAR e um teclado árabe estiverem presentes no sistema infectado.
O malware pode buscar e executar uma ampla gama de cargas úteis, incluindo uma versão atualizada de si mesmo, o downloader MoleNet, Quasar RAT, SharpStage e ProcessExplorer (ferramenta legítima usada para reconhecimento e despejo de credenciais).
Antes não documentado, o downloader MoleNet parece estar em uso desde 2019, embora sua infraestrutura possa estar ativa desde 2017. O malware .NET fortemente ofuscado pode executar comandos WMI para reconhecimento, verificar se há depuradores no sistema, reiniciar o sistema, enviar SO informações para o C&C, baixe cargas adicionais e obtenha persistência.
“A descoberta de novas ferramentas de espionagem cibernética, juntamente com a conexão com ferramentas previamente identificadas usadas pelo grupo, sugere que Molerats está aumentando sua atividade de espionagem na região à luz do clima político atual e eventos recentes no Oriente Médio”, conclui Cybereason.
