11/04/19
Речь идет о подразделении группировки Gaza Cybergang, известном как Gaza Cybergang Group1 (другое название MoleRATs). Как сообщает «Лаборатория Касперского», в Gaza Cybergang входят киберпреступники, разговаривающие на арабском языке и преследующие политические мотивы. Сфера их интересов – страны Среднего Востока (в особенности палестинская территория) и Северной Африки.
Gaza Cybergang состоит из трех подразделений – кроме Gaza Cybergang Group1 в нее входят Gaza Cybergang Group2 и Gaza Cybergang Group3. Первая из трех группировок финансируется меньше остальных и использует очень простые техники. Как правило, для заражения компьютеров трояном для удаленного доступа (или несколькими) она использует Pastebin. Яркий пример – операция SneakyPastes.
В ходе операции злоумышленники использовали фишинг и делили атаку на несколько связанных между собой этапов. Для того чтобы избежать обнаружения и продлить срок действия C&C-сервера, Gaza Cybergang Group1 хранила свое вредоносное ПО в публичных сервисах Pastebin, Mailimg, Github, dev-point.co, a.pomf.cat и upload.cat.
Эксперты ЛК обнаружили несколько закладок, использовавших PowerShell, VBS, JS и .NET для получения персистентности на зараженной системе. Вредоносным ПО, загружаемым на завершающем этапе атаки, является троян для удаленного доступа (RAT). Вредонос собирает документы в форматах PDF, DOC, DOCX, XLS и XLSX, компрессирует их, шифрует и отправляет на C&C-сервер.
Операция началась в конце 2018-го и продолжалась в начале 2019 года. Чаще всего жертвами SneakyPastes становились посольства, государственные и образовательные учреждения, СМИ, журналисты, активисты, политические партии и отдельные политики, организации здравоохранения и банки. В настоящее время операция завершена, а часть ее инфраструктуры отключена общими усилиями ЛК и правоохранительных органов.
Подробнее: https://www.securitylab.ru/news/498744.php
