自 2022 年 9 月以来,安全研究人员观察到名为Arid Viper的专业APT组织在针对巴勒斯坦实体的攻击中使用其恶意软件工具包的更新版本。
赛门铁克正在以绰号Mantis追踪该组织,并表示Arid Viper黑客“正在竭尽全力在目标网络上保持持久存在”。
详细分析报告:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/mantis-palestinian-attacks
该黑客组织也被称为APT-C-23 和沙漠猎鹰,至少自 2014 年以来就与针对巴勒斯坦和中东的攻击有关。
Mantis 使用了一系列自制的恶意软件工具,例如ViperRat、FrozenCell(又名 VolatileVenom)和Micropsia,以在 Windows、Android 和 iOS 平台上执行和隐藏其活动。
根据卡巴斯基 2015 年 2 月发布的一份报告,据信攻击者以阿拉伯语为母语,总部位于巴勒斯坦、埃及和土耳其。此前的公开报道也将该组织与哈马斯的网络战部门联系在一起。
2022 年 4 月,受雇于敏感国防、执法和紧急服务组织的知名以色列人被观察到成为一个名为BarbWire的新型 Windows 后门的目标。
该组织发起的攻击通常使用鱼叉式网络钓鱼电子邮件和伪造的社交凭证来引诱目标在其设备上安装恶意软件。
赛门铁克详述的最新攻击需要使用其自定义 Micropsia 和 Arid Gopher 植入程序的更新版本来破坏目标,然后再进行凭据盗窃和被盗数据的泄露。
Arid Gopher 是一种使用 Go 编程语言编码的可执行文件,是 Micropsia 恶意软件的一种变体, Deep Instinct 于 2022 年 3 月首次记录了该恶意软件。转向 Go 并不罕见,因为它允许恶意软件躲在雷达之下。
Micropsia 除了能够启动辅助有效载荷(如 Arid Gopher)之外,还设计用于记录击键、截取屏幕截图并将 Microsoft Office 文件保存在 RAR 存档中,以便使用定制的基于 Python 的工具进行渗透。
赛门铁克收集的证据表明,Mantis 在 2022 年 12 月 18 日至 2023 年 1 月 12 日期间在三组工作站上部署了三个不同版本的 Micropsia 和 Arid Gopher,以此作为保留访问权限的一种方式。
就 Arid Gopher 而言,它已收到定期更新和完整的代码重写,攻击者“积极改变变体之间的逻辑”作为检测规避机制。
“Mantis 似乎是一个坚定的对手,愿意投入时间和精力来最大限度地提高成功的机会,大量的恶意软件重写以及它决定将针对单个组织的攻击划分为多个独立的部分以减少整个操作被检测到的可能性就证明了这一点。”赛门铁克总结道。
