Funzionari israeliani di alto livello sono stati colpiti da una nuova campagna di cyber-spionaggio lanciata da APT-C-23. AridViper, noto anche come APT-C-23, Desert Falcon, e Two-tailed Scorpion, è un gruppo advanced persistent threat (APT) a sfondo politico attivo in Medio Oriente e si ritiene provenire dai confini di Gaza.
In passato, AridViper ha condotto attacchi di spear-phishing contro le forze dell’ordine, i militari e gli istituti scolastici palestinesi, così come l’Agenzia per la sicurezza di Israele (ISA). A febbraio, i ricercatori di Cisco Talos hanno scoperto gli attacchi di AridViper contro gli attivisti associati al conflitto israelo-palestinese.
Il team di ricerca Nocturnus di Cybereason ha pubblicato nuovi risultati sulle ultime attività dell’APT.
Soprannominata “Operation Bearded Barbie“, l’ultima campagna prende di mira individui israeliani “scelti con cura” per compromettere i loro PC e dispositivi mobili, spiare le loro attività e rubare dati sensibili.
I ricercatori sostengono che il gruppo APT-C-23, insieme a MoleRATs, sono sottoinsiemi APT della divisione di cyberguerra di Hamas e stanno lavorando per favorire il gruppo politico palestinese.
Le vittime dell’operazione includono individui che lavorano nei settori della difesa, delle forze dell’ordine e dei servizi di emergenza in Israele.
Secondo Cybereason, il primo passo negli attacchi dell’APT-C-23 si basa sull’ingegneria sociale: dopo aver condotto una ricognizione su una vittima, il gruppo crea falsi account Facebook sui social media, prende contatto e cerca di invogliare l’obiettivo a scaricare app di messaggi troianizzati.
In alcuni casi, i profili catfish sono creati per apparire come giovani donne.
Le chat si spostano da Facebook a WhatsApp, e da lì, il catfish suggerisce un servizio di messaggistica più “discreto“.
Un altro vettore di attacco è l’esca di un video sessuale confezionato in un archivio .RAR dannoso.
L’APT ha anche aggiornato le sue armi informatiche. In particolare, due nuovi strumenti – Barb(ie) Downloader e BarbWire Backdoor – e una nuova variante di impianto, VolatileVenom, sono da esplorare.
Barb(ie) Downloader viene consegnato attraverso il video di adescamento e viene utilizzato per installare la backdoor BarbWire. Il malware eseguirà diversi controlli anti-analisi, tra cui una scansione delle macchine virtuali (VM) o la presenza di sandbox, prima di procedere con l’installazione della backdoor. Barb(ie) raccoglierà anche informazioni di base sul sistema operativo e le invierà al server di comando e controllo (C2) dell’attaccante.
La Backdoor BarbWire è descritta come un ceppo di malware “molto capace” con alti livelli di offuscamento ottenuti attraverso la crittografia delle stringhe, l’hashing delle API e la protezione dei processi.
BarbWire esegue varie funzioni di sorveglianza, tra cui keylogging, cattura dello schermo e intercettazione e registrazione audio. Inoltre, la variante malware può mantenere la persistenza su un dispositivo infetto, pianificare le attività, crittografare il contenuto, scaricare ulteriori payload malware ed esfiltrare i dati.
La backdoor cercherà specificamente documenti Microsoft Office, file .PDF, archivi, immagini e video sulla macchina compromessa e qualsiasi unità esterna collegata.
Cybereason ha anche individuato nuove varianti di VolatileVenom. VolatileVenom è un malware Android servito durante l’installazione dell’app di messaggistica “discrete” ed è stato progettato per eseguire sorveglianza e furto.
VolatileVenom può compromettere il microfono e le funzioni audio di un dispositivo Android, registrare le chiamate e le prove effettuate su WhatsApp, leggere le notifiche da WhatsApp, Facebook, Telegram, Instagram, Skype, IMO e Viber; leggere le liste dei contatti e rubare informazioni tra cui messaggi SMS, file e credenziali delle app.
Inoltre, il malware può estrarre i registri delle chiamate, utilizzare la fotocamera per scattare foto, manomettere le connessioni WiFi e scaricare file sul dispositivo.
Cybereason ha dichiarato che “Questa campagna mostra un notevole passo avanti nelle capacità di APT-C-23, con stealth aggiornato, malware più sofisticato, e il perfezionamento delle loro tecniche di ingegneria sociale che coinvolgono capacità offensive HUMINT utilizzando una rete molto attiva e ben curata di falsi account Facebook che si sono dimostrati abbastanza efficaci per il gruppo.“
