Търсене
Close this search box.

Простият зловреден софтуер и простият TTPs играят на фона на сложен геополитически конфликт в арабския свят.

Хакерски колектив, който може да е свързан с бунтовниците хути в Йемен, шпионира военни цели в Близкия изток вече половин десетилетие.

Тяхното оръжие е персонализиран софтуер за наблюдение за Android, наречен „GuardZoo“. Изглежда, че GuardZoo е използван за кражба на потенциално ценна разузнавателна информация, свързана с военните врагове на извършителя, включително официални документи, снимки и данни, свързани с местоположението и движението на войските.

Кампанията GuardZoo

Атаките на GuardZoo започват със зловредни връзки, разпространявани в WhatsApp и WhatsApp Business.

Връзките водят до фалшиви приложения, хоствани извън магазина на Google Play. Някои от тях се отнасят до общи теми – като „Свещеният Коран“ и „Намерете телефона си“, но повечето са с военна насоченост – „Изкуството на войната“, „Конституция на въоръжените сили“ и такива, свързани с конкретни организации като Йеменските въоръжени сили и Командно-щабния колеж на Саудитските въоръжени сили.

Всички тези различни приложения доставят зловредния софтуер GuardZoo.

Фалшиви приложения на GuardZoo; Източник: Lookout

 

GuardZoo по същество е изтеклият „Dendroid RAT“, от който са премахнати част от тлъстините и е снабден с десетки команди, отговарящи на шпионските нужди на собственика му. Това може отчасти да обясни защо кампанията, която датира от октомври 2019 г., едва сега излиза наяве. „Ако някой използва същия инструментариум като много други хакери, тогава той може да мине [под радара] просто защото не изпъква“, обяснява Кристоф Хебайзен, директор на Lookout за изследване на разузнаването в областта на сигурността.

При заразяване първите действия на GuardZoo винаги включват деактивиране на локалното регистриране и ексфилтриране на всички файлове на жертвата през последните седем години, които отговарят на файловите разширения KMZ, WPT (waypoint), RTE (route) и TRK (track). Забележително е, че всички тези разширения са свързани с приложения за GPS и картографиране.

Зловредният софтуер може също така да улесни изтеглянето на допълнителен зловреден софтуер, да прочете информация за машината на жертвата – като нейния модел, доставчик на мобилни услуги и скорост на връзката – и др.

Военни цели в Близкия изток

За Хебайзен: „Едно нещо, което силно ни показва, че става въпрос за военни цели, [е] твърдо кодираните файлови разширения, които са много свързани с картографирането. Това насочване за мен показва – като се има предвид, че те са въвлечени във военен конфликт – че вероятно търсят тактическа информация от врага.“

По-голямата част от 450-те засегнати IP адреса, наблюдавани от Lookout, са концентрирани в Йемен, въпреки че обхващат и Саудитска Арабия, Египет, Обединените арабски емирства, Турция, Катар и Оман.

Връзката с хутите се засилва по-специално от местоположението на сървъра за командване и контрол (C2) на зловредния софтуер. „Той използва динамични IP адреси, но с доставчик на телекомуникационни услуги, който оперира в контролирана от хутите зона. Това е физически сървър – получихме серийния му номер и действително можем да го проследим – а вероятно не бихте искали да поставите физически сървър на вражеска територия“, разсъждава Хебайзен.

В сравнение със значимостта на целите, защитата срещу тази кампания е доста проста. В съобщение за пресата Lookout подчертава необходимостта потребителите на Android да избягват приложения, хоствани извън Google Play, винаги да актуализират приложенията си и да внимават за излишни разрешения.

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!