Un gruppo di advanced persistent threat (APT) che opera con motivazioni che probabilmente si allineano con la Palestina ha intrapreso una nuova campagna che sfrutta un impianto precedentemente non documentato chiamato NimbleMamba.
Le intrusioni hanno sfruttato una sofisticata catena di attacchi contro i governi mediorientali, i think tank di politica estera e una compagnia aerea affiliata allo stato, ha detto l’azienda di sicurezza enterprise Proofpoint in un rapporto, attribuendo l’operazione segreta a un attore di minacce rintracciato come Molerats (alias TA402).
Famoso per il continuo aggiornamento dei loro impianti malware e dei loro metodi di consegna, il gruppo APT è stato recentemente collegato a un’offensiva di spionaggio rivolta agli attivisti dei diritti umani e ai giornalisti in Palestina e Turchia, mentre un precedente attacco esposto nel giugno 2021 ha portato alla distribuzione di una backdoor chiamata LastConn.
Ma la tregua nelle attività è stata compensata dagli operatori che lavorano attivamente per riattrezzare il loro arsenale, portando allo sviluppo di NimbleMamba, che è stato progettato per sostituire LastConn, che, a sua volta, si ritiene sia una versione aggiornata di un’altra backdoor chiamata SharpStage che è stata utilizzata dallo stesso gruppo come parte delle sue campagne nel dicembre 2020.
“NimbleMamba utilizza guardrails per garantire che tutte le vittime infette siano all’interno della regione target di TA402″, hanno detto i ricercatori, aggiungendo che il malware “utilizza l’API di Dropbox sia per il command-and-control che per l’esfiltrazione“, suggerendo il suo utilizzo in “campagne di raccolta intelligence altamente mirate“.
Viene anche consegnato un trojan soprannominato BrittleBush che stabilisce comunicazioni con un server remoto per recuperare i comandi codificati in Base64 da eseguire sulle macchine infette. Per di più, si dice che gli attacchi si siano verificati in tandem con l’attività malevola di cui sopra che ha preso di mira la Palestina e la Turchia.
La sequenza di infezione rispecchia esattamente la stessa tecnica utilizzata dall’attore della minaccia per compromettere i suoi obiettivi. Le email di spear-phishing, che fungono da punto di partenza, contengono link geofenced che portano a carichi di malware solo se il destinatario si trovi in una delle regioni bersaglio. Se gli obiettivi vivono al di fuori del raggio di attacco, i link reindirizzano l’utente a un sito web di notizie benigne come Emarat Al Youm.
Variazioni più recenti della campagna nel dicembre 2021 e gennaio 2022 hanno coinvolto l’uso di URL Dropbox e siti WordPress controllati dagli attaccanti per consegnare file RAR dannosi contenenti NimbleMamba e BrittleBush.
Lo sviluppo è l’ultimo esempio di avversari che utilizzano i servizi cloud, come Dropbox, per lanciare i loro attacchi, per non parlare di quanto velocemente gli attori sofisticati possono rispondere alle rivelazioni pubbliche dei loro metodi di invasione per creare qualcosa di potente ed efficace che può superare i livelli di sicurezza e rilevamento.
“TA402 continua ad essere un efficace attore di minacce che dimostra la sua persistenza con le sue campagne altamente mirate focalizzate sul Medio Oriente“.
