![](https://pic.imgdb.cn/item/65811fb3c458853aef36c61c.jpg) 一个名为“加沙网络团伙”的亲哈马斯威胁行为者正在使用名为Pierogi的后门的更新版本来瞄准巴勒斯坦实体。 调查结果来自SentinelOne,该恶意软件被命名为Pierogi++,因为它是用C++编程语言实现的,这与基于Delphi和Pascal的前身不同。 安全研究员亚历山大·米伦科斯基(Aleksandar Milenkoski)在与《黑客新闻》分享的一份报告中说:“最近的加沙网络团伙活动显示,自以色列 - 哈马斯战争开始以来,没有观察到巴勒斯坦实体的持续目标。 据信,加沙网络团伙至少自2012年以来一直活跃,它有打击整个中东地区目标的历史,特别是以色列和巴勒斯坦,经常利用鱼叉式网络钓鱼作为初始访问方法。 其武器库中一些著名的恶意软件家族包括 BarbWire、DropBook、LastConn、Molerat Loader、Micropsia、NimbleMamba、SharpStage、Spark、Pierogi、PoisonIvy 和 XtremeRAT 等。 威胁行为者被评估为多个子组的复合体,这些子组共享重叠的受害者足迹和恶意软件,例如 Molerats、Arid Viper 和卡巴斯基称为“议会行动”的集群。 近几个月来,这个敌对集体与一系列攻击有关,这些攻击提供了其Micropsia和Arid Gopher植入物的临时变体,以及一个名为IronWind的新初始访问下载器。 加沙网络团伙发起的最新入侵已被发现利用了 Pierogi++ 和 Micropsia。Pierogi++ 的首次使用记录可以追溯到 2022 年底。 加沙网络帮派 攻击链的特点是使用用阿拉伯文或英文书写的、与巴勒斯坦人感兴趣的事项有关的诱饵文件来提供后门。 Cybereason 于 2020 年 2 月揭露了 Pierogi,将其描述为一种植入物,允许攻击者监视目标受害者,并且“用于与 [命令和控制] 服务器通信的命令和二进制文件中的其他字符串是用乌克兰语编写的”。 网络安全 “后门可能是在地下社区获得的,而不是在本土获得的,”它当时评估道。 Pierogi 和 Pierogi++ 都具备截屏、执行命令和下载攻击者提供的文件的能力。另一个值得注意的方面是,更新后的工件在代码中不再包含任何乌克兰字符串。 正如卡巴斯基此前在 2021 年 11 月披露的那样,SentinelOne 对加沙网络帮派行动的调查还发现了两个不同的活动之间的战术联系,即“生活大爆炸”和“大胡子芭比行动”,此外还加强了威胁行为者与 WIRTE 之间的联系。 尽管持续关注巴勒斯坦,但 Pierogi++ 的发现突显出该组织继续完善和重组其恶意软件,以确保成功入侵目标并保持对其网络的持续访问。 “在2018年之后,在加沙网络帮派子团体中观察到的目标和恶意软件相似性重叠表明,该组织可能正在经历一个整合过程,”米伦科斯基说。 “这可能包括形成一个内部恶意软件开发和维护中心和/或简化外部供应商的供应。
评论 (0)