概述
加沙网络团伙至少自2012年以来一直活跃,是一个疑似与哈马斯结盟的集群,其行动主要针对巴勒斯坦实体和以色列,专注于情报收集和间谍活动。作为以色列-哈马斯战争背景下感兴趣的威胁行为者,我们将加沙网络团伙作为一个由几个相邻的子团体组成的团体进行跟踪,据观察,自 2018 年以来,这些子团体共享受害者、TTP 并使用相关的恶意软件菌株。其中包括加沙网络帮派第 1 组(Molerats)、加沙网络帮派第 2 组(干旱毒蛇、沙漠猎鹰、APT-C-23)和加沙网络帮派第 3 组(议会行动背后的组织)。
这篇文章的目标有两个:
- 突出近期行动与历史行动之间的关系,提供连接加沙网络帮派子团体的新共同背景。
- 提供最近的调查结果和以前未报告的国际奥委会,这增加了该组织积累的知识,并支持进一步集体跟踪加沙网络团伙的活动。
在 2022 年底至 2023 年底的加沙网络团伙活动中,我们观察到该组织为其主要针对巴勒斯坦实体的恶意软件库引入了一个新的后门。我们将这个后门跟踪为 Pierogi++。我们评估 Pierogi++ 基于一种名为 Pierogi 的旧恶意软件菌株,该菌株于 2019 年首次观察到。我们还观察到,在这段时间里,巴勒斯坦实体一直使用该组织的主要 Micropsia 家族恶意软件和 Pierogi++。
这种针对性是加沙网络团伙的典型目标。这些活动可能与哈马斯和法塔赫派系之间的紧张关系有关,他们的和解努力在以色列-哈马斯战争爆发前后一直停滞不前。在撰写本文时,我们对加沙网络团伙在冲突爆发后的活动的可见性并未表明其强度或特征发生重大变化。
我们对加沙网络帮派行动中使用的最近和历史恶意软件的分析突出了相隔数年发生的活动之间的新关系—— Operation Big Bang(2018 年)和 Operation Bearded Barbie(2022 年)。此外,我们观察到的技术指标源于最近报告的活动,加强了加沙网络团伙与鲜为人知的威胁组织WIRTE之间的可疑关系。这个群体历来被认为是一个独特的集群,然后与加沙网络团伙的低信心有关。这表明加沙网络帮派集群的相互交织性质,使其组成群体与其他可疑的中东团体之间的准确划分具有挑战性。
在我们对 2018 年至今的加沙网络团伙活动的分析中,我们观察到恶意软件在相对较长的时间段内持续演变。这包括对所使用的混淆技术进行微小的更改,采用新的开发范式,以及以新恶意软件的形式重新浮出水面(如 Pierogi++ 所示)。此外,在2018年之后,在加沙网络帮派子团体中观察到的目标和恶意软件相似性重叠,这表明该组织可能正在经历一个整合过程。这可能包括组建内部恶意软件开发和维护中心和/或简化外部供应商的供应。
Micropsia 和 Pierogi++ 针对哈马斯反对派
在以色列-哈马斯战争之前,加沙网络团伙一直以以色列和巴勒斯坦实体为目标。我们观察到从 2021 年底到 2023 年底的其他活动与之前的研究一致。我们对这些活动的了解,以及所用诱饵和诱饵文件的主题和措辞表明,这些活动主要针对巴勒斯坦实体。大多数涉及主要Micropsia系列的恶意软件变种。
在 Micropsia 系列恶意软件中,我们观察到其基于 Delphi 和 Python 的变体部署了用阿拉伯语编写的诱饵文档,并专注于巴勒斯坦事务,例如巴勒斯坦文化遗产和政治事件。许多关联的 C2 域名(如 和 )都引用了公众人物,这与该组的已知域名命名约定一致。为了支持对加沙网络团伙活动的进一步集体跟踪,我们在报告末尾重点列出了以前未报告的Micropsia指标。bruce-ess[.]comwayne-lashley[.]com
诱饵文件
在 Micropsia 活动中,我们发现了一个后门,我们评估该后门基于 2020 年首次报告的名为 Pierogi 的恶意软件。这个后门,我们标记为 Pierogi++,是用 C++ 实现的,我们观察到它在 2022 年和 2023 年的使用。该恶意软件通常通过存档文件或武器化的 Office 文件(用英语或阿拉伯语编写)传递有关巴勒斯坦事务的 Office 文件。
分发 Pierogi++ 的恶意文档
分发 Pierogi++ 的文档使用宏来部署恶意软件,然后通常伪装成 Windows 工件,例如计划任务或实用程序应用程序。恶意软件实现嵌入在宏或文档本身中,通常采用 Base64 编码形式。
部署 Pierogi++ 的 Office 宏
Pierogi++ 可执行文件还伪装成以政治为主题的文件,其名称包括“革命和全国委员会在对抗清算和犹太化计划方面的国家作用”、“叙利亚境内巴勒斯坦难民的处境”和“巴勒斯坦政府设立的隔离墙和定居点事务国务部”。
我们评估 Pierogi++ 是基于 Pierogi 后门的,其变体是在 Delphi 和 Pascal 中实现的。Pierogi 和 Pierogi++ 在代码和功能方面有相似之处,例如字符串、侦察技术和诱饵文档的部署,其中一些也出现在 Micropsia 恶意软件中。
表示未检测到防病毒解决方案的字符串:Pierogi++ (Tm9BVg== 解码为 NoAV)
此外,Pierogi++ 示例以相同的顺序实现与 Pierogi 相同的后门功能:截屏、命令执行和下载攻击者提供的文件。
在处理后门命令时,一些 Pierogi++ 示例使用字符串 和 ,而早期的 Pierogi 示例使用乌克兰字符串 、 和 。这在当时引起了人们的怀疑,即外部可能参与了Pierogi的发展。我们没有观察到指标表明我们分析的Pierogi++样本中有这种参与。downloadscreenvydalytyZavantazhytyEkspertyza
Pierogi++ 后门字符串
大多数 Pierogi++ C2 服务器都在 Namecheap 注册,由 Stark Industries Solutions LTD 托管,与 Gaza Cybergang 保护伞之前的基础设施管理实践保持一致。后门使用 curl 库与 C2 服务器交换数据,我们在 Gaza Cybergang 的恶意软件库中并不经常观察到这种技术。
curl 库的使用
Pierogi++ 令人信服地说明了 Gaza Cybergang 恶意软件在维护和创新方面的持续投资,可能是为了增强其功能并根据已知的恶意软件特征逃避检测。
从Molerats到Arid Viper等
继 2020 年 2 月关于 Pierogi 后门的第一份报告之后,2020 年底和 2021 年标志着后门及其基础设施与 Arid Viper 的关联。与 Arid Viper 相关的 Micropsia 活动导致在 2020 年 12 月发现了当时新的 PyMicropsia 恶意软件,其中包括 Pierogi 样本。更多历史饺子样本将 和 结构域用于 C2 目的,这些结构域已在 2020 年 12 月和 2021 年 4 月与 Arid Viper 相关联。Pierogi 的最新变体是 Pierogi++,我们观察到它在 2022 年和 2023 年针对巴勒斯坦实体——这种针对是 Arid Viper 的典型目标。escanor[.]livenicoledotso[.]icu
我们对 Gaza Cybergang 在 2022 年之前使用的恶意软件的调查,这些恶意软件与 Pierogi 共享功能、结构和基础设施,结果在 Delphi、Pascal 和 C++ 中实现了大量样本。这凸显了 Gaza Cybergang 经常采用不同的开发范式,并与 Facebook 的观察结果一致,Facebook 将这些变体与 Arid Viper 相关联,并在更广泛的 Micropsia 恶意软件系列下使用不同的名称对其进行跟踪,例如 Glasswire、Primewire 和 fgref。
恶意软件
2020 年底,作为疑似 Arid Viper 行动的一部分,以 Pierogi 变体为目标的受害者被观察到也感染了当时新的 SharpStage 和 DropBook 恶意软件,这种重叠评估旨在加强 Molerats 和 Arid Viper Gaza Cybergang 子团体之间的联系。
2021 年 6 月下旬,作为 TA402 集群活动的一部分被发现的 LastConn 恶意软件被高度置信地评估为 SharpStage 的更新版本。
根据我们对最近针对中东政府实体的 2023 年 TA402 活动的后续调查,我们强调了 TA402 与一个名为 WIRTE 的鲜为人知的威胁行为者使用的恶意软件的具体重叠。WIRTE 于 2019 年 4 月首次披露,最初被认为是一个独特的集群,但后来与对加沙网络帮派保护伞的信心不足有关(主要基于在巴勒斯坦事务上使用诱饵,这是加沙网络帮派组成子团体的典型特征)。
WIRTE 以在暂存恶意软件时使用唯一的自定义用户代理进行 C2 通信而闻名,该字段的值可能是入侵标识符。WIRTE 的分阶段器将 C2 通信尝试封装在一个无限循环中,由在定义的下限和上限内随机生成长度的休眠期隔开。我们在 TA402 的 .NET 恶意软件暂存器中观察到相同的独特用户代理格式和 C2 通信模式。rv
2020 年 WIRTE 恶意软件中的用户代理和 C2 通信
2022 TA401 恶意软件中的用户代理和 C2 通信
以前仅在WIRTE上下文中发现的恶意软件工件的参与表明TA402、WIRTE 和 Gaza Cybergang 集群之间可能存在关系。这与最新的TA402归因评估一致,因为该评估与Gaza Cybergang和 WIRTE 重叠。
回到 Big Bang
2022 年 4 月披露的“Operation Bearded Barbie”是一项针对以色列个人和执法、军事和紧急服务部门官员的运动,以中等至高度的信心归因于Arid Viper。该行动突出了 BarbWire 后门是Arid Viper武器库中的一种新型恶意软件。
仔细观察作为“Operation Bearded Barbie”的一部分观察到的 BarbWire 变体的实施情况,揭示了与 2018 年 Operation Big Bang 中使用的恶意软件菌株的关系,该活动被认为是 2017 年针对巴勒斯坦个人和实体的活动的演变。当时没有具体归属,该活动与加沙网络团伙松散地联系在一起,特别指出与Arid Viper的一些联系。
Big Bang活动涉及使用C++植入物,该植入物被评估为旧Micropsia变体的升级版本。除了在执行流程和结构上有一些相似之处外,我们还观察到,Big Bang 和 Bearded Barbie 活动中使用的后门共享唯一的字符串,用于报告执行状态和/或指示对恶意软件模块的内部引用。
据报道,作为“Operation Bearded Barbie”的一部分使用的 BarbWire 示例实现了自定义 base64 算法(同上)来混淆字符串。后门程序不会对 Base64 编码算法本身进行更改,而是通过添加在解码之前删除的额外字符来修改 Base64 字符串。以这种方式对 BarbWire 字符串进行字符串解码,揭示了 BarbWire 与在 Big Bang 战役中观察到的后门之间的精确匹配。
后门字符串匹配
与 BarbWire 相比,BigBang 后门示例仅使用 Base64 编码对 BarbWire 中存在的相同字符串进行模糊处理。恶意软件作者可能在后来的恶意软件开发工作中引入了 Base64 字符串修改技术(反映在 Operation Bearded Barbie 中),这是一种相对简单但有效的尝试,以逃避基于已知字符串伪影的检测。
此技术还允许通过仅更改第二个字符来快速更改修改后的 Base64 字符串,以随着时间的推移不断逃避检测。例如,一旦删除第二个字符,字符串和 Base64 都会解码为 “”。IZERvZXMgbm90IGV4aXN0LgIHERvZXMgbm90IGV4aXN0Lg Does not exist.
结论
加沙网络团伙在 2022 年和 2023 年的行动表明,他们持续专注于针对巴勒斯坦实体。Pierogi++ 后门的发现表明,该组织继续发展和补充其主要恶意软件库,包括将旧实现转换为新工具。
其组成子团体共享 TTP、恶意软件和受害者的相互交织性质表明,加沙网络团伙是反对反哈马斯利益的统一战线。加沙网络团伙威胁的持续性凸显了持续保持警惕和采取合作措施的必要性,以应对这些威胁行为者带来的挑战。
SentinelLabs继续监测加沙网络团伙的活动,以进一步提高对该组织动态的集体了解,并提供与安全团队保护其组织和个人的指标相关的指标。
IOC
SHA-1
003bb055758a7d687f12b65fc802bac07368335e Micropsia 家族恶意软件
19026b6eb5c1c272d33bda3eab8197bec692abab Micropsia 家族恶意软件
20c10d0eff2ef68b637e22472f14d87a40c3c0bd Pierogi后门
26fe41799f66f51247095115f9f1ff5dcc56baf8 TA402 恶意软件暂存可执行文件(2022 版)
278565e899cb48138cc0bbc482beee39e4247a5d Pierogi后门
2a45843cab0241cce3541781e4e19428dcf9d949 Micropsia 家族恶意软件
32d0073b8297cc8350969fd4b844d80620e2273a 分发 Pierogi++ 的文档
3ae41f7a84ca750a774f777766ccf4fd38f7725a 分发 Pierogi++ 的文档
42cb16fc35cfc30995e5c6a63e32e2f9522c2a77 Pierogi ++
4dcdb7095da34b3cef73ad721d27002c5f65f47b BarbWire 后门
5128d0af7d700241f227dd3f546b4af0ee420bbc Pierogi++
5619e476392c195ba318a5ff20e40212528729ba Micropsia 家族恶意软件
599cf23db2f4d3aa3e19d28c40b3605772582cae Pierogi后门
5e46151df994b7b71f58556c84eeb90de0776609 分发 Pierogi++ 的文档
5fcc262197fe8e0f129acab79fd28d32b30021d7 WIRTE PowerShell 脚本
60480323f0e6efa3ec08282650106820b1f35d2f 分发 Pierogi++ 的文档
694fa6436302d55c544cfb4bc9f853d3b29888ef BarbWire 后门
708f05d39df7e47aefc4b15cb2db9f26bc9fad5f TA402 恶意软件暂存可执行文件(2022 版)
745657b4902a451c72b4aab6cf00d05895bbc02f Micropsia 家族恶意软件
75a63321938463b8416d500b34a73ce543a9d54d Pierogi++
95fc3fb692874f7415203a819543b1e0dd495a57 Micropsia 家族恶意软件
994EBBE444183E0D67B13F91D75B0F9BCFB011DB Operation Big Bang 后门
aeeeee47becaa646789c5ee6df2a6e18f1d25228 Pierogi++
c3038d7b01813b365fd9c5fd98cd67053ed22371 Micropsia 家族恶意软件
da96a8c04edf8c39d9f9a98381d0d549d1a887e8 Pierogi++
ee899ae5de50fdee657e04ccd65d76da7ede7c6f Operation Big Bang 后门
f3e99ec389e6108e8fda6896fa28a4d7237995be Pierogi++Domain
aracaravan[.]com Pierogi++ C2 server
beatricewarner[.]com Pierogi++ C2 server
bruce-ess[.]com Micropsia C2 server
claire-conway[.]com Micropsia C2 server
delooyp[.]com Micropsia C2 server
escanor[.]live Pierogi backdoor C2 server
izocraft[.]com Micropsia C2 server
jane-chapman[.]com Micropsia C2 server
lindamullins[.]info Operation Big Bang backdoor C2 server
nicoledotson[.]icu Pierogi backdoor C2 server
overingtonray[.]info Pierogi backdoor C2 server
porthopeminorhockey[.]net Micropsia C2 server
spgbotup[.]club Operation Big Bang backdoor C2 server
stgeorgebankers[.]com WIRTE C2 server
swsan-lina-soso[.]info Pierogi++ C2 server
theconomics[.]net TA402 C2 server
wanda-bell[.]website BarbWire C2 server
wayne-lashley[.]com Micropsia C2 server
zakaria-chotzen[.]info Pierogi++ C2 server参考链接:https://www.sentinelone.com/labs/gaza-cybergang-unified-front-targeting-hamas-opposition/
图片来源网络目标可联系删除
