Cyberthreat.id - Aktor ancaman pro-Hamas yang dikenal sebagai Gaza Cyber ​​Gang menargetkan entitas Palestina menggunakan versi terbaru dari backdoor yang disebut Pierogi.

Temuan ini berasal dari SentinelOne, yang memberi nama malware tersebut Pierogi++ karena fakta bahwa malware tersebut diimplementasikan dalam bahasa pemrograman C++ tidak seperti pendahulunya yang berbasis Delphi dan Pascal.

“Aktivitas Cybergang Gaza baru-baru ini menunjukkan penargetan yang konsisten terhadap entitas Palestina, tanpa ada perubahan signifikan dalam dinamika sejak dimulainya perang Israel-Hamas,” kata peneliti keamanan Aleksandar Milenkoski dalam laporan yang dibagikan kepada The Hacker News.

Geng Cyber ​​Gaza, diyakini aktif setidaknya sejak tahun 2012, memiliki sejarah menyerang sasaran di seluruh Timur Tengah, khususnya Israel dan Palestina, sering kali memanfaatkan spear-phishing sebagai metode akses awal.

Beberapa keluarga malware terkenal di gudangnya antara lain BarbWire, DropBook, LastConn, Molerat Loader, Micropsia, NimbleMamba, SharpStage, Spark, Pierogi, PoisonIvy, dan XtremeRAT.

Pelaku ancaman dinilai merupakan gabungan dari beberapa subkelompok yang memiliki jejak viktimologi dan malware yang tumpang tindih, seperti Molerats, Arid Viper, dan kelompok yang disebut Operation Parliament oleh Kaspersky.

Dalam beberapa bulan terakhir, kelompok ini dikaitkan dengan serangkaian serangan yang mengirimkan varian improvisasi dari implan Micropsia dan Arid Gopher serta pengunduh akses awal baru yang dijuluki IronWind.

Rangkaian intrusi terbaru yang dilakukan oleh Gaza Cyber ​​Gang diketahui memanfaatkan Pierogi++ dan Micropsia. Penggunaan Pierogi++ pertama yang tercatat terjadi pada akhir tahun 2022.

Geng Siber Gaza

Rantai serangan ditandai dengan penggunaan dokumen umpan yang ditulis dalam bahasa Arab atau Inggris dan berkaitan dengan hal-hal yang menjadi kepentingan warga Palestina untuk dilakukan melalui backdoor.

Cybereason, yang menjelaskan Pierogi pada bulan Februari 2020, menggambarkannya sebagai implan yang memungkinkan penyerang memata-matai korban yang ditargetkan dan bahwa “perintah yang digunakan untuk berkomunikasi dengan server [perintah-dan-kontrol] dan string lain dalam biner ditulis dalam bahasa Ukraina."

“Backdoor mungkin diperoleh dari komunitas bawah tanah, bukan dari komunitas lokal,” menurut penilaian mereka saat itu.

Pierogi dan Pierogi++ dilengkapi untuk mengambil tangkapan layar, menjalankan perintah, dan mengunduh file yang disediakan penyerang. Aspek penting lainnya adalah artefak yang diperbarui tidak lagi menampilkan string Ukraina apa pun dalam kodenya.

Investigasi SentinelOne terhadap operasi Geng Cyber ​​Gaza juga menghasilkan hubungan taktis antara dua kampanye berbeda yang disebut Big Bang dan Operasi Bearded Barbie, selain memperkuat hubungan antara pelaku ancaman dan WIRTE, seperti yang sebelumnya diungkapkan oleh Kaspersky pada November 2021.

Terlepas dari fokus berkelanjutan pada Palestina, penemuan Pierogi++ menggarisbawahi bahwa kelompok tersebut terus menyempurnakan dan memperlengkapi kembali malware-nya untuk memastikan keberhasilan penyusupan target dan untuk mempertahankan akses terus-menerus ke jaringan mereka.

“Kesamaan penargetan dan malware yang diamati di seluruh sub-kelompok Cybergang Gaza setelah tahun 2018 menunjukkan bahwa kelompok tersebut kemungkinan sedang menjalani proses konsolidasi,” kata Milenkoski.

“Hal ini mungkin mencakup pembentukan pusat pengembangan dan pemeliharaan malware internal dan/atau menyederhanakan pasokan dari vendor eksternal.”[]