La Gaza Cyber Gang, un gruppo di minaccia pro-Hamas, sta prendendo di mira entità palestinesi utilizzando una versione aggiornata di un backdoor denominato Pierogi. Questa scoperta, fatta da SentinelOne, rivela che il malware, ora chiamato Pierogi++, è stato implementato nel linguaggio di programmazione C++, a differenza del suo predecessore basato su Delphi e Pascal.
Storia e Attività della Gaza Cyber Gang
Attiva almeno dal 2012, la Gaza Cyber Gang ha una storia di attacchi mirati in tutto il Medio Oriente, in particolare contro Israele e la Palestina, spesso utilizzando il spear-phishing come metodo di accesso iniziale. Tra le famiglie di malware notevoli nel suo arsenale ci sono BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy e XtremeRAT, tra gli altri.
Caratteristiche e Tattiche di Pierogi++
Pierogi++ e Micropsia sono stati utilizzati nelle ultime intrusioni della Gaza Cyber Gang. Il primo uso registrato di Pierogi++ risale alla fine del 2022. Le catene di attacco sono caratterizzate dall’uso di documenti ingannevoli scritti in arabo o inglese, riguardanti questioni di interesse per i palestinesi, per consegnare i backdoor. Pierogi++ è dotato di funzionalità per catturare screenshot, eseguire comandi e scaricare file forniti dall’attaccante. Un aspetto notevole è che gli artefatti aggiornati non presentano più stringhe ucraine nel codice.
Collegamenti Tattici e Evoluzione
L’indagine di SentinelOne sulle operazioni della Gaza Cyber Gang ha anche rivelato collegamenti tattici tra due campagne distinte, denominate Big Bang e Operation Bearded Barbie, oltre a rafforzare i legami tra il gruppo di minacce e WIRTE, come precedentemente rivelato da Kaspersky nel novembre 2021. Nonostante la focalizzazione sostenuta sulla Palestina, la scoperta di Pierogi++ sottolinea che il gruppo continua a perfezionare e rinnovare il suo malware per garantire il successo nel compromettere i bersagli e mantenere un accesso persistente alle loro reti.
Consolidamento e Sviluppo di Malware
L’osservazione delle sovrapposizioni nel targeting e delle somiglianze nel malware tra i sottogruppi della Gaza Cyber Gang dopo il 2018 suggerisce che il gruppo potrebbe essere in un processo di consolidamento. Questo potrebbe includere la formazione di un hub interno per lo sviluppo e la manutenzione del malware e/o la razionalizzazione dell’approvvigionamento da fornitori esterni.