Il gruppo di hacker noto come Arid Viper è stato osservato mentre utilizza varianti aggiornate del suo toolkit malware per attacchi informatici mirati a entità palestinesi a partire dal settembre 2022.
Arid Viper e i suoi strumenti di attacco
Symantec, che monitora il gruppo sotto il soprannome a tema insetti Mantis, ha affermato che gli aggressori “stanno facendo grandi sforzi per mantenere una presenza persistente nelle reti target”. Arid Viper, noto anche come APT-C-23 e Desert Falcon, è stato collegato ad attacchi informatici mirati alla Palestina e al Medio Oriente dal 2014. Mantis utilizza un arsenale di strumenti malware come ViperRat, FrozenCell (alias VolatileVenom) e Micropsia per eseguire e nascondere le sue campagne su piattaforme Windows, Android e iOS.
Gli attori della minaccia e i loro obiettivi
Si ritiene che gli autori degli attacchi siano di lingua araba nativa e basati in Palestina, Egitto e Turchia, secondo un rapporto pubblicato da Kaspersky nel febbraio 2015. Altre relazioni pubbliche hanno anche legato il gruppo alla divisione di guerra informatica di Hamas. Gli obiettivi di Arid Viper includono individui israeliani di alto profilo impiegati in organizzazioni sensibili di difesa, applicazione della legge e servizi di emergenza.
Le tecniche di attacco di Arid Viper
Gli attacchi di Arid Viper impiegano tipicamente email di spear-phishing e credenziali sociali false per indurre le vittime a installare malware sui loro dispositivi. Gli attacchi più recenti descritti da Symantec prevedono l’uso di versioni aggiornate dei suoi strumenti malware personalizzati Micropsia e Arid Gopher per violare i bersagli prima di rubare le credenziali e esfiltrare i dati.
Arid Gopher e Micropsia, malware in continua evoluzione
Arid Gopher, un eseguibile scritto nel linguaggio di programmazione Go, è una variante del malware Micropsia documentato per la prima volta da Deep Instinct nel marzo 2022. Il passaggio al linguaggio Go permette al malware di rimanere sotto il radar. Micropsia, oltre alla capacità di lanciare payload secondari (come Arid Gopher), è progettato per registrare i tasti premuti, catturare schermate e salvare i file di Microsoft Office all’interno di archivi RAR per l’esfiltrazione tramite uno strumento Python-based.
