11/04/22
Киберпреступная группировка AridViper (также известная как APT-C-23, Desert Falcon и Two-tailed Scorpion) организовала кампанию по кибершпионажу против высокопоставленных израильских чиновников.
По словам ИБ-экспертов из Cybereason Nocturnus, текущая шпионская кампания под названием Operation Bearded Barbie нацелена на «тщательно отобранных» израильских граждан для взлома их компьютеров и мобильных устройств, слежки за их действиями и кражи конфиденциальных данных. Как полагают исследователи, AridViper предположительно связана с палестинским исламистским движением ХАМАС и работает на благо палестинских властей.
Первый этап кампании AridViper основан на социальной инженерии. После проведения разведки группировка создает поддельные учетные записи в социальных сетях Facebook, устанавливает контакт с потенциальной жертвой и пытается побудить ее загрузить троянизированные приложения для обмена сообщениями. В некоторых случаях поддельные профили созданы якобы от имени молодых женщин.
Преступники переносят общение из Facebook в WhatsApp, а уже в мессенджере предлагают более «личный» сервис обмена сообщениями. Еще одним вектором атаки является приманка в качестве видеоролика сексуального характера, упакованного во вредоносный архив .RAR.
APT также модернизировала свое кибероружие и обзавелась двумя новыми инструментами — Barb(ie) Downloader и BarbWire Backdoor, а также новым вариантом имплантата VolatileVenom.
Barb(ie) Downloader доставляется через видео-приманку и используется для установки бэкдора BarbWire. Прежде чем приступить к установке бэкдора, вредоносная программа выполняет несколько антианалитических проверок, включая сканирование виртуальных машин (ВМ) или проверку на предмет песочниц. Barb(ie) также собирает базовую информацию об ОС и отправляет ее на командный сервер.
Бэкдор BarbWire описывается как «очень эффективный» вид вредоносного ПО с высоким уровнем обфускации, достигаемым за счет шифрования строк, хеширования API и защиты процессов. BarbWire выполняет различные функции наблюдения, включая кейлоггинг, захват экрана, а также прослушивание и запись звука. Кроме того, вариант вредоносного ПО может сохраняться на зараженном устройстве, планировать задачи, шифровать содержимое, загружать дополнительные полезные нагрузки и похищать данные. Бэкдор будет специально искать документы Microsoft Office, файлы .PDF, архивы, изображения и видео на скомпрометированной системе и любых подключенных внешних дисках.
Cybereason также обнаружил новые варианты VolatileVenom. VolatileVenom — вредоносное ПО для Android, которое загружается во время установки «личного» приложения для обмена сообщениями и предназначено для наблюдения и кражи данных. VolatileVenom может взломать микрофон и аудиофункции Android-устройства, записывать звонки через WhatsApp, читать уведомления из WhatsApp, Facebook, Telegram, Instagram, Skype, IMO и Viber; читать списки контактов и красть информацию, включая SMS-сообщения, файлы и учетные данные приложений.
Кроме того, вредоносное ПО может извлекать журналы вызовов, использовать камеру для фотосъемки, вмешиваться в соединения Wi-Fi и загружать файлы на устройство.
