Ugg Boots 4 Sale: Een verhaal over Palestijnse spionage

Eind 2021 constateerde Proofpoint een complexe aanvalsketen die gericht was op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid en een luchtvaartmaatschappij die aan de staat gelieerd was. In drie maanden tijd heeft Proofpoint drie subtiele variaties van deze aanvalsketen waargenomen. Proofpoint schrijft deze campagnes toe aan TA402, een bedreiging die gewoonlijk wordt gevolgd als Molerats en waarvan wordt aangenomen dat het opereert in het belang van de Palestijnse Gebieden.

Volgens het onderzoek van Proofpoint is TA402 een aanhoudende bedreiging voor organisaties en overheden in het Midden-Oosten, waarbij niet alleen hun malware routinematig wordt bijgewerkt, maar ook hun verspreidingsmethoden. Nadat Proofpoint in juni 2021 zijn TA402-onderzoek had gepubliceerd, leek TA402 zijn plannen voor een korte periode te laten varen, ongetwijfeld met als reden om zich te herpakken.

Proofpoint gelooft dat ze die tijd hebben gebruikt om hun malware-implantaten en afleveringsmechanismen te updaten, met behulp van malware genaamd NimbleMamba en BrittleBush. TA402 maakt ook regelmatig gebruik van geofencing-technieken en verschillende aanvalsketens waardoor het lastig wordt voor verdedigers om ze op te sporen.

“Tijdens de laatste maanden van 2021 verfijnde TA402 zijn leveringsmethoden en malware in campagnes die consequent waren gericht op agentschappen in het Midden-Oosten. Proofpoint was er snel bij om deze campagnes in hun vroege stadia te ontdekken, waardoor een complexe keten van aanvallen aan het licht kwam. Hierdoor konden we de subtiele verschillen in het uiteindelijke malware-implantaat van de groep opmerken, waaronder het gebruik van meerdere beschermingsconstructies om ervoor te zorgen dat de malware alleen op doelsystemen wordt uitgevoerd.” zegt Sherrod DeGrippo, VP Threat Research en Detection bij Proofpoint.

Campagne Details
De meest recente campagnes van TA402 omvatten spear phishing e-mails met links die vaak leiden naar kwaadaardige bestanden. Proofpoint heeft daarin drie verschillende URL-types waargenomen:

Variant 1: Door cybercriminelen bestuurd domein (november 2021)
Bij een aanval in november 2021 deed TA402 zich voor als de Quora-website, terwijl er gebruik werd gemaakt van een Gmail-account dat afkomstig was en gecontroleerd werd door een cybercrimineel. De schadelijke URL in de phishingmail was geofenced naar de doellanden. Als het IP-adres van de gebruiker in het beoogde gebied paste, werd de gebruiker omgeleid om het RAR-bestand met het nieuwste TA402-implantaat, NimbleMamba, te downloaden. Als het IP-adres buiten het doelgebied valt, wordt de gebruiker doorgestuurd naar een legitieme nieuwssite.

Variatie 2: Dropbox URL (december 2021)
In december 2021 gebruikte TA402 meerdere voorwendselen voor phishing, waaronder clickbait naar medische lokmiddelen en lokmiddelen die vertrouwelijke geopolitieke informatie zouden delen. TA402 bleef een door de cybercrimineel gecontroleerde Gmail-account gebruiken, maar schakelde over op Dropbox-URL’s om de schadelijke RAR-bestanden met NimbleMamba te leveren. Deze verschuiving van door cybercriminelen gecontroleerde domeinen betekende dat TA402 zijn payloads niet langer kon geofencen. Proofpoint ontdekte dat TA402 niet alleen Dropbox-services misbruikt voor de levering van NimbleMamba, maar ook voor command and control (C2) van malware. Proofpoint deelde het onderzoek en de analyse met Dropbox en zij namen de nodige maatregelen om de activiteit binnen hun organisatie te neutraliseren.

Variatie 3: WordPress omleiding door cybercriminelen gecontroleerd domein (december 2021/januari 2022)
In de laatste campagnes bleef TA402 voor elk van hun doelwitten aangepaste content gebruiken. De inhoud werd alleen licht gewijzigd door het invoegen van een extra WordPress URL die ook werd beheerd door een cybercrimineel. De WordPress site, die zich voordoet als een nieuws aggregatie van de oorspronkelijke nieuwssite van variant 1, leidt waarschijnlijk naar de download site van de kwaadaardige RAR-bestanden die NimbleMamba bevatten, indien de bezoeker afkomstig is van een IP-adres binnen het doelgebied. Als het bron-IP-adres niet overeenkomt met de doelregio, zal de URL de ontvanger omleiden naar een niet-malicious website, meestal een Arabisch-talige nieuwswebsite.

Het gebruik van URL’s met geofencing en Dropbox URL’s, tonen aan dat TA402 vastbesloten is om e-mailverkeer te verstoren en doelwitten te infecteren met NimbleMamba.

Malware-analyse: NimbleMamba
De aanval van TA402 leidde bij elke variant naar een RAR-bestand met een of meer schadelijke gecomprimeerde uitvoerbare bestanden. Deze uitvoerbare bestanden bevatten een TA402-implantaat dat door Proofpoint NimbleMamba werd genoemd en vaak een extra trojan die door Proofpoint BrittleBush werd genoemd. NimbleMamba is vrijwel zeker bedoeld ter vervanging van LastConn, die Proofpoint in juni 2021 rapporteerde.

Gebaseerd op de nieuwe toepassingen van NimbleMamba, beoordeelt Proofpoint dat NimbleMamba actief wordt ontwikkeld, goed wordt onderhouden en is ontworpen voor gebruik in zeer gerichte verzamelcampagnes van inlichtingen.

Attributie
Proofpoint schrijft de campagnes toe aan TA402 op basis van zowel technische indicatoren als victimologie. De waargenomen aanvalsketens bootsen eerdere TA402-campagnes na. De phishing-campagnes delen thematische elementen met eerdere Molerats-campagnes.

De door Proofpoint geobserveerde campagnes vonden waarschijnlijk plaats op hetzelfde moment als Zscaler’s recent gepubliceerde onderzoek naar Molerats activiteiten gericht op individuen in Palestina en Turkije, en tonen aan dat Molerats nog steeds in staat is om hun aanvalsketens aan te passen op basis van de doelwitten van hun informatie.

De door NimbleMamba gebruikte beschermingsmaatregelen laten een duidelijke focus zien op het aanvallen van Arabisch sprekenden en computers in het Midden-Oosten. Proofpoint heeft campagnes waargenomen die gericht waren op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid, en een luchtvaartmaatschappij die aan de staat gelieerd is. Proofpoint is van mening dat TA402 waarschijnlijk Palestijnse doelen ondersteunt, wat consistent is met eerdere beoordelingen van Proofpoint en de bredere sector.

Conclusie
TA402 blijft een bedreiger die laat zien zeer vasteberaden te zijn met zijn gerichte campagnes op het Midden-Oosten. Op basis van de variaties tussen campagnes die NimbleMamba leveren, samen met het eerdere patroon van het ontwikkelen van nieuwe malware na openbaarmaking, schat Proofpoint met gematigd vertrouwen in dat TA402 zowel hun implantaten als infectieketens zal blijven updaten om verdedigingsinspanningen te moeilijker te maken.