Uma campanha de espionagem ativa foi atribuída ao agente de ameaças conhecido como Molerats, que abusa de serviços de nuvem legítimos como Google Drive e Dropbox para hospedar cargas de malware e para comando e controle e a exfiltração de dados de alvos em todo o Oriente Médio.
Acredita-se que a ofensiva cibernética esteja em andamento pelo menos desde julho de 2021, de acordo com a empresa de segurança da informação baseada em nuvem Zscaler, continuando os esforços anteriores do grupo de hackers para realizar reconhecimento nos hosts alvo e saquear informações confidenciais.
Molerats, também rastreado como TA402, Gaza Hackers Team e Extreme Jackal, é um grupo de ameaças persistentes avançadas (APT) que está amplamente focado em entidades que operam no Oriente Médio. A atividade de ataque associada ao ator aproveitou temas geopolíticos e militares para atrair usuários a abrir anexos do Microsoft Office e clicar em links maliciosos.
A última campanha detalhada pela Zscaler não é diferente, pois faz uso de temas de chamariz relacionados a conflitos em andamento entre Israel e Palestina para entregar um backdoor .NET em sistemas infectados que, por sua vez aproveita a API do Dropbox para estabelecer comunicações com um servidor controlado pelo adversário e transmitir dados.
O implante que usa códigos de comando específicos para comandar a máquina comprometida, suporta recursos para tirar instantâneos, listar e fazer upload de arquivos em diretórios relevantes e executar comandos arbitrários. Investigando a infraestrutura do ataque, os pesquisadores informaram ter encontrado pelo menos cinco contas do Dropbox usadas para esse fim.
“Os alvos desta campanha foram escolhidos especificamente pelo ator da ameaça e incluíram membros críticos do setor bancário na Palestina, pessoas relacionadas a partidos políticos palestinos, bem como ativistas de direitos humanos e jornalistas na Turquia”, conforme informou Singh, através de relatos dos pesquisadores da Zscaler ThreatLabz Sahil Antil e Sudeep.
Este artigo é uma tradução de: https://thehackernews.com/2022/01/molerats-hackers-hiding-new-espionage.html?m=1 Autor:
