SENASTE NYTT

- Nyheter inom industrivärlden

Politisk motiverad hotaktör

Samlar in underrättelser med nya metoder
Cybersäkerhetsföretaget Proofpoint har nyligen observerat förändrad aktivitet från en hotaktör som riktar sig mot främst västasiatiska regeringar, och som använder en komplex infektionskedja baserad på att leverera en skadlig programvara kallad IronWind.

Hotaktörer kallas för TA402, och är även känd som Gaza Cybergang, Molerats, Frankenstein eller Wirte. Proofpoint-forskare bedömer att TA402 verkar för att stötta palestinska terroristgrupper med fokus på underrättelseinsamling. Man varnar för att TA402 är både uthållig och innovativ, och med jämna mellanrum förändrar sina attackmetoder och gör korrigerar i den skadliga programvara man använder.

Just det har man nu observerat med fallet IronWind – som används för att ladda ned skalkod till infekterade system. Där har man börjat använda sig av XLL- och RAR-filbilagor i sina nätfiskekampanjer istället för Dropbox-länkar, som tidigare varit vanligt förekommande från gruppen.

"Den här hotaktören har konsekvent engagerat sig i extremt riktad aktivitet och förföljt färre än fem organisationer med en enda kampanj", skriver Proofpoint-forskare i sin rapport.
Trots den nuvarande konflikten i regionen har Proofpoint inte observerat några förändringar kring vilka måltavlor TA402 väljer att fokusera på. Men det möjligt att TA402 kommer att fördela om sina resurser i takt med utvecklingen.

Kampanjerna som observerats 2023 påminner om historisk TA402-aktivitet och behåller fokus på arabisktalande mål i Mellanöstern. Under åren har TA402 konsekvent riktat in sig på statliga enheter baserade i Mellanöstern och Nordafrika, och har ibland riktat sig mot samma mål upprepade gånger.

E-postmeddelandena använder i regel social ingenjörskonst med ekonomisk tema, såsom "Ekonomiskt samarbete med länderna i Gulf Cooperation Council 2023-2024" eller "Lista över personer och enheter (utsedda som terrorister) av Anti-Money Laundering and Terrorist Financing Authority .”

De kommer levererade med skadliga länkar eller filer som innehåller makron som installerar tre filer: version.dll (IronWind), timeout.exe och gatherNetworkInfo.vbs. När filen väl har laddats på sidan börjar IronWinds kommunicera med kontroll- och kommandoservern, som tillhandahåller skalkod för det tredje steget av infektion.

Hela rapporten finns att läsa här.

SENASTE NYTT

- Nyheter inom industrivärlden
2024-02-23
High voltage water heaterFöretag extremt dåligt rustade Verizon Business skapar anpassad privat 5G-miljö Bästa företagsklimatet i Västerbotten 2026Två erbjudanden för lagerlogistik
2024-02-22
Förbättra din arbetsmiljöKvalitetssäkrade begagnade maskiner Tydlighet vid installations­märkningCarita Nero blir ny vd på KlaravikÖka effektiviteten i din tillverkningsprocess
2024-02-21
Det är viktigt att förstå termografins användbarhetFörsäkra dig om att hörseln inte tar skada vid arbetetUpptäck våra senaste produkterEn ny hydraul­cylinder eller renovera de befintliga? Mångsidiga verktyg för formning och bockning
2024-02-20
Effektiva lösningar för industriell luftkomprimeringEn väsentlig kugg i energi­försörjningens maskineriINTELLilight - Testa dig fram för bästa ljuset för stundenStranda AB har investerat i en ny bandsågautomatRätt lyftverktyg är kritiskt för effektiva lyftningar
2024-02-19
Vill du veta hur avfuktning fungerar ?Fiber billigare och ger högsta hastighet i kontorsfastighetCoGig och SSAB i samarbeteWavin förutspår ökad marknadsandel 2024 Unik energilösning för hållbara bostäder