Investigadores de seguridad de Checkpoint han descubierto el retorno de un grupo de Hackers que tenían como objetivo instituciones del Medio Oriente, específicamente la autoridad de palestina.
El ataque comenzó con un correo de phishing el cual contenía un archivo auto ejecutable del cual se extraían dos archivos: un documento de Word y un ejecutable malicioso. El documento de Word aparentaba ser un documento de la Comisión de orientación política, y nacional palestina. El documento sirve para desorientar a las victimas, a que el malware se ejecuta en segundo plano.
Hasta ahora no esta claro exactamente que es lo que busca el atacante, lo que si se sabe que el malware haría una vigilancia de la victima. El malware esta apodado como Big Bang, ya que el creador del malware asocia los módulos del malware con el famoso programa de televisión The big bang theory.
Aunque el archivo se encontró a mediados de abril, el documento de Word muestra que fue editado por última vez el 29 de marzo de 2018. Esta fecha también se menciona en el cuerpo del documento y se utiliza como título, "29-3.doc". Los metadatos en el documento muestran que también se tituló "سيادة العقيد / عصام أبو عوكل", que es el nombre del jefe ejecutivo de la Oficina de Orientación.
Una vez el malware se despliega en el equipo final, este se comunica de manera predeterminada con un sitio web de comando y control (spgbotup.club). Los actores de APT, sitio web de C & C de copia de seguridad adicional codificado (lindamullins [.] Info) que se contactan en caso de que el malware no obtenga una respuesta del primer sitio web. Es probable que este sea un mecanismo que los actores de la amenaza implementaron para manejar casos en los que tendrían que pasar por cambios de infraestructura.
Los investigadores creen que estos ataques podrían estar relacionados con el grupo Cybergang APT de Gaza, un grupo cibercriminal de lengua árabe y motivado políticamente, que está operando desde 2012 y tiene como objetivo la organización de petróleo y gas en la región del Medio Oriente Norte de África.
Sin embargo, según los investigadores, todavía no se ha confirmado exactamente qué grupo de amenaza está detrás de esta campaña.
El ataque comenzó con un correo de phishing el cual contenía un archivo auto ejecutable del cual se extraían dos archivos: un documento de Word y un ejecutable malicioso. El documento de Word aparentaba ser un documento de la Comisión de orientación política, y nacional palestina. El documento sirve para desorientar a las victimas, a que el malware se ejecuta en segundo plano.
Hasta ahora no esta claro exactamente que es lo que busca el atacante, lo que si se sabe que el malware haría una vigilancia de la victima. El malware esta apodado como Big Bang, ya que el creador del malware asocia los módulos del malware con el famoso programa de televisión The big bang theory.
Aunque el archivo se encontró a mediados de abril, el documento de Word muestra que fue editado por última vez el 29 de marzo de 2018. Esta fecha también se menciona en el cuerpo del documento y se utiliza como título, "29-3.doc". Los metadatos en el documento muestran que también se tituló "سيادة العقيد / عصام أبو عوكل", que es el nombre del jefe ejecutivo de la Oficina de Orientación.
Una vez el malware se despliega en el equipo final, este se comunica de manera predeterminada con un sitio web de comando y control (spgbotup.club). Los actores de APT, sitio web de C & C de copia de seguridad adicional codificado (lindamullins [.] Info) que se contactan en caso de que el malware no obtenga una respuesta del primer sitio web. Es probable que este sea un mecanismo que los actores de la amenaza implementaron para manejar casos en los que tendrían que pasar por cambios de infraestructura.
"Después de revisar todas las funcionalidades del malware, confiamos en decir que los atacantes buscan víctimas que respondan a características bien definidas y creen que las etapas posteriores del ataque se entregan solo a quienes se ajustan al perfil específico de la víctima", dicen los investigadores.
Los investigadores creen que estos ataques podrían estar relacionados con el grupo Cybergang APT de Gaza, un grupo cibercriminal de lengua árabe y motivado políticamente, que está operando desde 2012 y tiene como objetivo la organización de petróleo y gas en la región del Medio Oriente Norte de África.
Sin embargo, según los investigadores, todavía no se ha confirmado exactamente qué grupo de amenaza está detrás de esta campaña.
Indicadores de Compromiso
- lindamullins[.]info
- spgbotup[.]club
- namyyeatop[.]club
- namybotter[.]info
- sanjynono[.]website
- exvsnomy[.]club
- ezofiezo[.]website
- hitmesanjjoy[.]pro
