Группа киберпреступников Arid Viper вернулась с новой кампанией, нацеленной на палестинские организации.

То palestine-delphi (APT), предположительно базирующаяся в Газе — зоне конфликта и очаге напряженности между Израилем и Палестиной — атакует организации по всему миру, но в настоящее время, похоже, сосредоточена на организациях, связанных с политикой Палестины.

Arid Viper, также известный как Desert Falcon, Two-tailed Scorpion или APT C-23, существует по крайней мере с 2015 года. В прошлом группа отвечала за целевой фишинг. Нападения на правоохранительные органы Палестины, военные, учебные заведения и Агентство безопасности Израиля (ISA).

Windows и Вредоносное ПО для Android использовались ранее, последний из которых распространяется через поддельные магазины приложений. Тем не менее вредоносное ПО Delphi активно использовалось в предыдущих кампаниях и до сих пор остается предпочтительным оружием для Arid Viper.

В среду исследователи от Сиско Талос сообщили, что продолжающаяся кампания использует inject (инъекцию) Micropsia на основе Delphi для доставки вредоносного кода.

«Самые последние образцы, найденные Talos, позволяют нам предположить, что это кампания, связанная с предыдущей кампанией, о которой мы сообщали в 2017 году», — говорят исследователи, добавляя, что основное внимание Arid Viper уделяется кибершпионажу, а цели выбираются исходя из политической мотивации «Palestine Liberation Organization PLO».

Первоначальный вектор атаки — это фишинговые электронные письма, содержащие контент, связанные с политической ситуацией в Палестине и обычно украденные из информационных агентств. Например, один документ-приманка был связан с воссоединением палестинской семьи и опубликован в 2021 году, тогда как другой содержал запись с вопросами активистов.

Если предполагаемая жертва открывает один из этих документов, срабатывает inject, извлекая ряд возможностей трояна удаленного доступа (RAT). Вредоносное ПО будет собирать данные операционной системы и антивируса, передавать их на сервер управления и контроля (C2) оператора, красть содержимое на устройстве, делать снимки экрана и проводить дальнейшую слежку.

Планировщик, содержащийся в инъекции, также добавляет себя в «Автозагрузку»

«Продолжительное использование одних и тех же TTP в течение последних четырех лет указывает на то, что группа не чувствует себя затронутой публичной демонстрацией своих кампаний и инъекций и продолжает работать в обычном режиме», — говорит Талос. «Это полное отсутствие сдерживания делает их опасной группой, когда они решают нацелиться на организацию или человека».

В соответствующих новостях на этой неделе Talos и Cybereason раскрыли три отдельные APT-кампании, которые, как считается, были делом рук поддерживаемых государством иранских киберпреступников. MuddyWater, Phosphorus и Moses Staff нацелены на организации в Турции, США, Израиле, Европе и на Ближнем Востоке.