हमास के साइबर वारफेयर डिवीजन से संबद्धता वाले एक जोखिम अभिनेता को “विस्तृत विपणन अभियान” से जोड़ा गया है, जो नाजुक सुरक्षा, कानून प्रवर्तन और आपातकालीन प्रदाता संगठनों में कार्यरत हाई-प्रोफाइल इजरायली लोगों पर केंद्रित है।
“विपणन अभियान संचालक परिष्कृत सोशल इंजीनियरिंग रणनीतियों का उपयोग करते हैं, जिसका उद्देश्य अंततः होम विंडोज़ और एंड्रॉइड इकाइयों के लिए पहले से अनिर्दिष्ट पिछले दरवाजे को शिप करना है,” साइबर सुरक्षा फर्म साइबरसन कहा बुधवार की रिपोर्ट में।
“हमले के पीछे का उद्देश्य पीड़ितों की इकाइयों से जासूसी कार्यों के लिए नाजुक जानकारी निकालना था।”
महीने भर की घुसपैठ, जिसका कोडनेम “ऑपरेशन दाढ़ी वाली बार्बी“अरिड वाइपर के नाम से जाने जाने वाले एक अरबी-भाषी और राजनीतिक रूप से प्रेरित समूह के लिए जिम्मेदार ठहराया गया है, जो केंद्र पूर्व से बाहर संचालित होता है और इसे मॉनीकर्स एपीटी-सी -23 और डेजर्ट फाल्कन द्वारा भी पहचाना जा सकता है।
हाल ही में, जोखिम अभिनेता था जिम्मेदार ठहराया राजनीतिक रूप से थीम वाले फ़िशिंग ईमेल और नकली कागजी कार्रवाई का उपयोग करते हुए अक्टूबर 2021 से शुरू होने वाले फ़िलिस्तीनी कार्यकर्ताओं और संस्थाओं पर हमले के लिए।
नवीनतम घुसपैठ उसके विशेष सौदे के लिए उल्लेखनीय है, जिसमें ट्रोजनाइज्ड मैसेजिंग ऐप डाउनलोड करने का लालच देकर, अभिनेताओं को निरंकुश प्रवेश प्रदान करते हुए, इजरायली लोगों से संबंधित कंप्यूटर सिस्टम और सेल इकाइयों से जानकारी की लूटपाट की गई है।
सोशल इंजीनियरिंग संबंधित हमलों का उपयोग कर रहा है फेसबुक पर नकली व्यक्तिकेंद्रित लोगों के विश्वास को महसूस करने और मंच पर उनसे दोस्ती करने के लिए युवा लड़कियों को उलझाने के काल्पनिक प्रोफाइल की व्यवस्था करने के लिए कैटफ़िशिंग की रणनीति पर भरोसा करते हुए।
शोधकर्ताओं ने विस्तार से बताया, “पीड़ित का विश्वास हासिल करने के बाद, फर्जी अकाउंट के संचालक ने संवाद को एफबी से व्हाट्सएप पर स्थानांतरित करने का सुझाव दिया।” “ऐसा करने से ऑपरेटर तेजी से लक्ष्य का मोबाइल नंबर प्राप्त कर लेता है।”
जैसे ही चैट एफबी से व्हाट्सएप पर स्थानांतरित हो जाती है, हमलावर पीड़ितों को सलाह देते हैं कि वे एंड्रॉइड के लिए एक सुरक्षित मैसेजिंग ऐप (जिसे “वोलेटाइलवेनम” कहा जाता है) स्थापित करते हैं, इसके अलावा एक आरएआर संग्रह फ़ाइल खोलने के अलावा जिसमें विशिष्ट यौन सामग्री सामग्री होती है जिसके परिणामस्वरूप तैनाती होती है एक मैलवेयर डाउनलोडर जिसे बार्ब (यानी) के रूप में जाना जाता है।
मार्केटिंग अभियान के अलग-अलग हॉलमार्क में बार्बवायर बैकडोर के साथ मैलवेयर उपकरणों के उन्नत शस्त्रागार का लाभ उठाने वाला समूह शामिल है, जिसे डाउनलोडर मॉड्यूल द्वारा रखा गया है।
मैलवेयर पीड़ित मशीन से पूरी तरह से समझौता करने के लिए एक उपकरण के रूप में कार्य करता है, जिससे यह दृढ़ता का निर्धारण करने, सहेजी गई जानकारी, दस्तावेज़ ऑडियो, स्क्रीनशॉट को जब्त करने और अतिरिक्त पेलोड प्राप्त करने की अनुमति देता है, जो सभी को फिर से दूर के सर्वर पर प्रेषित किया जाता है।
VolatileVenom, हालांकि, एंड्रॉइड स्पाई वेयर है जिसे मान्यता प्राप्त है स्पूफ वैध मैसेजिंग ऐप्स और सिस्टम अपडेट के रूप में बहाना और जिसे एरिड वाइपर द्वारा कई अभियानों में उपयोग करने के लिए रखा गया है कम से कम 2017 . के बाद से.
एक दुष्ट एंड्रॉइड ऐप का एक ऐसा उदाहरण जिसे “विंक चैट” के रूप में जाना जाता है, जहां पीड़ितों ने उपकरण का उपयोग करने के लिए नामांकन करने का प्रयास किया है, उन्हें एक त्रुटि संदेश पेश किया जाता है कि “इसे अनइंस्टॉल किया जा सकता है,” बस इसे चुपके से चलाने के लिए पृष्ठभूमि और सेल इकाइयों से सभी प्रकार के ज्ञान को निकालें।
शोधकर्ताओं ने कहा, “हमलावर एक बहुत ही नए बुनियादी ढांचे का उपयोग करते हैं जो कि मान्यता प्राप्त बुनियादी ढांचे से अलग है जिसका उपयोग फिलिस्तीनियों और विभिन्न अरबी-भाषियों पर ध्यान केंद्रित करने के लिए किया जाता है।”
“यह अभियान एपीटी-सी-23 क्षमताओं में एक बड़ा कदम दिखाता है, उन्नत चुपके, अतिरिक्त परिष्कृत मैलवेयर और उनकी सोशल इंजीनियरिंग रणनीतियों की पूर्णता के साथ जिसमें आक्रामक एचयूएमआईएनटी क्षमताएं होती हैं जो वास्तव में ऊर्जावान और अच्छी तरह से तैयार किए गए नकली एफबी के समुदाय का उपयोग करती हैं। जिन खातों की पुष्टि समूह के लिए काफी प्रभावी रही है।”