TA402 (AKA Molerats) olarak izlenen Filistinli-hizalı APT grubu, meşru web sitelerine yönlendirmeye yönlendiren bir siber-casusluk kampanyasında 'Nimblemamba' adlı yeni bir implant kullanılarak tespit edildi.
Kampanya, analistleri enfeksiyon zincirinin üç varyasyonunu gözlemleyerek, Orta Doğu ülkelerindeki tüm hükümetleri, dış politika tankları ve devlete ait bir havayolu şirketi tarafından belirlenen provenlenme ile keşfedildi.
Son saldırıların zaman çizelgesine gelince, oyuncular ilk kez 2021'de Nimblemamba kullandı ve Ocak 2022'nin sonlarına kadar ameliyatı sürdürdü.
Çoğu saldırıda, TA402, kötü amaçlı yazılım bırakarak sitelere bağlantılar içeren mızraksız phishing e-postaları kullanır. Mağdurların hedeflenen kapsamda olması gerekir, yoksa meşru haber sitelerine yönlendirilirler.
Hedefin IP adresi tanımlanmış hedeflenen bölgeyle eşleşirse, Nimblemamba'nın bir kopyası, bir RAR dosyasının içindeki sistemlerine düşürülür.
Prova noktası, kimlik avı yeminin teması, yönlendirme URL'si ve kötü amaçlı yazılım barındırma sitelerinin teması ile ilgili küçük varyasyonlarla üç farklı zinciri gözlemledi.
AnnowPoint, TA402'nin Nimblemamba'yı, aynı firma tarafından 2021 Haziran tarihli bir raporunda ortaya çıkan lastonn, bir arka kapı ve kötü amaçlı yazılım indiricisi değiştirmek için geliştirdi.
Buna karşılık, lastconn, Cybereason'un 2020 yılının Aralık ayında maruz kalan Sharpstage'ı değiştirdiği düşünülmektedir.
TA402, mevcut setleri ortaya çıktığında ve genellikle yenilediklerinde genellikle farklı bir hiatus döneminden geçtiğinde yeni özel araçlar geliştirme kapasitelerini göstermiştir.
Nimblemamba kaçınılmaz olarak lastonn ile bazı kod benzerlikleri taşıyor, ancak bunlar programlama dili, C2 kodlama şeması ve iletişim için Dropbox API kullanımı ile sınırlıdır.
Yeni araç çok daha karmaşık anti-analiz sistemlerine sahiptir ve yalnızca hedefli makinelerde yürütülmesini sağlamak için birden fazla korkuluk içerir.
Örneğin, ana bilgisayarın Arapça dilinin kurulu olması gerekir ve kötü amaçlı yazılımların dört IP Geolocation API hizmetine bağlanabilmesi gerekir; Aksi takdirde, koşmaz.
Önkoşullar karşılanırsa, Nimblemamba yapılandırmasını C2 iletişimi için şaşırtıcı API Auth tuşunu içeren bir JustPaste.it sayfasından alır.
Profint'in raporunu, "Nimblemamba, bir zeka toplama Trojan'ın geleneksel yeteneklerine sahip ve muhtemelen ilk erişim olarak tasarlanmıştır" dedi.
"İşlevsellikler, ekran görüntülerini yakalamak ve bilgisayardan işlem bilgilerini elde etmektedir. Ek olarak, fare hareketini arayan kullanıcı etkileşimini tespit edebilir. "
Dropbox'dan alınan RAR dosyaları her zaman sadece Nimblemamba içermez, çünkü analistler ayrıca bir yedekleme aracı olarak kullanılan BrittleBush Truva'yı da aldık.
Artık TA402'nin yenilenmiş araç setinin tekrar maruz kaldığı, aktörlerin yeni araçlar geliştirmek için bir süre uyutması bekleniyor.
Zaten, Nimblemamba ve C2 iletişimini sunmak için kullanılan alanlar çevrimdışı olarak alınmıştır.
Hatırlanması gereken kritik şey, belirli bir aktörün aynı hedef odağı koruduğu, aynı yanlısı Filistin hedeflerine hizmet etmektir ve enfeksiyon zincirini başlatmak için esas olarak kimlik avı e-postaları kullanır.
Alman benzin kaynağı firması yağtaşlama siber saldırı ile felçli
Ukrayna Linkler Gamaredon Hacker Grubu'nun Rusça FSB'ye Bağlantı
Devlet Hacker'ın yeni kötü amaçlı yazılımları 250 gün boyunca tespit edilemelerine yardımcı oldu
Muddywater Hack Topluluğu Türkiye'yi yeni kampanyada hedefliyor
Fince diplomatlarının telefonları NSO Grup Pegasus casus yazılımıyla enfekte olmuş
Kaynak: Bleeping Computer