Ngày 04 tháng 4 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Diễn viên đe dọa được gọi là rắn lục khô cằn đã được quan sát bằng cách sử dụng các biến thể được làm mới của bộ công cụ phần mềm độc hại trong các cuộc tấn công nhắm vào các thực thể Palestine kể từ tháng 9 năm 2022.
Symantec, đang theo dõi nhóm này dưới biệt danh Mantis theo chủ đề côn trùng, cho biết kẻ thù “sẽ cố gắng hết sức để duy trì sự hiện diện liên tục trên các mạng được nhắm mục tiêu.”
Còn được biết đến với tên APT-C-23 và Desert Falcon, nhóm hack này có liên quan đến các cuộc tấn công nhằm vào Palestine và Trung Đông ít nhất kể từ năm 2014.
Mantis đã sử dụng một kho công cụ phần mềm độc hại tự chế như ViperRat, FrozenCell (hay còn gọi là VolatileVenom) và Micropsia để thực hiện và che giấu các chiến dịch của mình trên các nền tảng Windows, Android và iOS.
Theo một báo cáo do Kaspersky công bố vào tháng 2 năm 2015, các tác nhân đe dọa được cho là những người nói tiếng Ả Rập bản địa và có trụ sở tại Palestine, Ai Cập và Thổ Nhĩ Kỳ. Báo cáo công khai trước đó cũng đã liên kết nhóm này với bộ phận chiến tranh mạng của Hamas.
Vào tháng 4 năm 2022, các cá nhân nổi tiếng của Israel làm việc trong các tổ chức quốc phòng nhạy cảm, thực thi pháp luật và dịch vụ khẩn cấp đã được quan sát thấy là mục tiêu của một cửa hậu Windows mới có tên là BarbWire.
Các chuỗi tấn công do nhóm thực hiện thường sử dụng email lừa đảo trực tuyến và thông tin đăng nhập mạng xã hội giả mạo để thu hút các mục tiêu cài đặt phần mềm độc hại trên thiết bị của họ.
Các cuộc tấn công gần đây nhất được Symantec nêu chi tiết đòi hỏi phải sử dụng các phiên bản cập nhật của bộ cấy ghép Micropsia và Arid Gopher tùy chỉnh của họ để vi phạm các mục tiêu trước khi tham gia vào hành vi trộm cắp thông tin xác thực và đánh cắp dữ liệu bị đánh cắp.
Arid Gopher, một tệp thực thi được mã hóa bằng ngôn ngữ lập trình Go, là một biến thể của phần mềm độc hại Micropsia lần đầu tiên được Deep Instinct ghi nhận vào tháng 3 năm 2022. Việc chuyển sang Go không có gì lạ vì nó cho phép phần mềm độc hại nằm trong tầm ngắm.
Micropsia, bên cạnh khả năng khởi chạy các tải trọng thứ cấp (như Arid Gopher), còn được thiết kế để ghi lại các lần nhấn phím, chụp ảnh màn hình và lưu các tệp Microsoft Office trong kho lưu trữ RAR để trích xuất bằng công cụ dựa trên Python.
“Arid Gopher, giống như người tiền nhiệm Micropsia, là một phần mềm độc hại đánh cắp thông tin, với mục đích thiết lập chỗ đứng, thu thập thông tin hệ thống nhạy cảm và gửi lại cho mạng C2 (chỉ huy và kiểm soát),” Deep Instinct cho biết tại thời gian.
Bằng chứng do Symantec thu thập cho thấy Mantis đã chuyển sang triển khai ba phiên bản riêng biệt của Micropsia và Arid Gopher trên ba bộ máy trạm từ ngày 18 tháng 12 năm 2022 đến ngày 12 tháng 1 năm 2023 như một cách để duy trì quyền truy cập.
Về phần mình, Arid Gopher đã nhận được các bản cập nhật thường xuyên và viết lại mã hoàn chỉnh, với những kẻ tấn công “tích cực thay đổi logic giữa các biến thể” như một cơ chế tránh bị phát hiện.
“Mantis dường như là một đối thủ kiên quyết, sẵn sàng dành thời gian và nỗ lực để tối đa hóa cơ hội thành công của mình, bằng chứng là việc viết lại phần mềm độc hại trên diện rộng và quyết định chia nhỏ các cuộc tấn công chống lại các tổ chức thành nhiều chuỗi riêng biệt để giảm khả năng toàn bộ hoạt động bị phát hiện,” Symantec kết luận.
