Группировка AridViper обновила свои инструменты и теперь атакует цели в Палестине.
Специалисты компании Symantec сообщают, что группировка AridViper (Mantis, APT-C-23, Desert Falcon) с сентября 2022 года атакует цели в Палестине, используя обновленные варианты своего набора вредоносных программ.
Ещё в 2015 исследователи «Лаборатории Касперского» предположили, что хакеры AridViper являются носителями арабского языка и базируются в Палестине, Египте и Турции. Предыдущие публичные отчеты также связывали группу с киберподразделением ХАМАС. В своих атаках хакеры Mantis использовали арсенал собственных инструментов под названием ViperRat , FrozenCell (VolatileVenom) и Micropsia для проведения скрытых атаках на Windows, Android и iOS.
В апреле 2022 года высокопоставленные израильские лица, работающие в секретных организациях сектора обороны, правоохранительных органов и служб экстренной помощи, стали жертвами бэкдора Windows под названием BarbWire, связанным с AridViper. Цепочка атак включала использование фишинговых писем и поддельных профилей в соцсетях для того, чтобы убедить жертву установить вредоносное ПО.
В атаках, обнаруженных Symantec, используются обновленные версии собственных имплантатов группы Micropsia и Arid Gopher для проникновения в систему жертвы и эксфильтрации украденных данных.
Бэкдор Arid Gopher, написанный на языке Golang, представляет собой вариант вредоносного ПО Micropsia , которое впервые было задокументировано в марте 2022 года. Работа на Golang позволяет вредоносному ПО оставаться незамеченным.
Arid Gopher выполняет следующие функции:
- создаёт плацдарм для злоумышленника;
- собирает системную информацию;
- отправляет украденные данные на С2-сервер.
Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки (например, Arid Gopher), также предназначена для:
- регистрации нажатий клавиш (кейлоггинг);
- создания снимков экрана;
- сохранения файлов Microsoft Office в RAR-архивах для последующей эксфильтрации с помощью специального инструмента на основе Python.
Специалисты Symantec отмечают, что Arid Gopher регулярно обновляется и полностью переписывает код, при этом киберпреступники «агрессивно мутируют логику между вариантами» в качестве механизма уклонения от обнаружения.
По словам экспертов, Mantis является решительным противником, готовым потратить время и усилия на то, чтобы максимизировать свои шансы на успех, о чем свидетельствует переписывание вредоносного ПО и решение разделить атаки против отдельных организаций на несколько отдельных направлений, чтобы снизить вероятность обнаружения всей операции.
Источник: securitylab