O ator de ameaças conhecido como Arid Viper tem sido observado usando variantes atualizadas de seu conjunto de ferramentas de malware em seus ataques direcionados a entidades palestinas desde setembro de 2022.
A Symantec, que está rastreando o grupo sob o nome de Mantis, disse que o adversário está "indo longe para manter uma presença persistente em redes-alvo".
Também conhecido pelos nomes APT-C-23 e Desert Falcon, o grupo de hackers tem sido vinculado a ataques direcionados à Palestina e ao Oriente Médio desde pelo menos 2014.
O Mantis usou um arsenal de ferramentas de malware caseiras, como ViperRat, FrozenCell (também conhecido como VolatileVenom) e Micropsia para executar e ocultar suas campanhas em plataformas Windows, Android e iOS.
Acredita-se que os atores de ameaças sejam falantes nativos de árabe e com base na Palestina, Egito e Turquia, de acordo com um relatório publicado pela Kaspersky em fevereiro de 2015.
Relatórios públicos anteriores também vincularam o grupo à divisão de guerra cibernética do Hamas.
Em abril de 2022, indivíduos de alto perfil israelenses empregados em organizações sensíveis de defesa, aplicação da lei e serviços de emergência foram observados sendo alvos de uma nova porta dos fundos do Windows apelidada de BarbWire.
As sequências de ataque montadas pelo grupo geralmente empregam e-mails de spear-phishing e credenciais sociais falsas para atrair alvos a instalar malware em seus dispositivos.
Os ataques mais recentes detalhados pela Symantec envolvem o uso de versões atualizadas de seus implantes personalizados Micropsia e Arid Gopher para violar alvos antes de se engajar no roubo de credenciais e exfiltração de dados roubados.
O Arid Gopher, um executável codificado na linguagem de programação Go, é uma variante do malware Micropsia que foi documentado pela primeira vez pela Deep Instinct em março de 2022.
A mudança para Go não é incomum, pois permite que o malware permaneça sob o radar.
O Micropsia, juntamente com sua capacidade de lançar payloads secundários (como o Arid Gopher), também é projetado para registrar as teclas pressionadas, tirar capturas de tela e salvar arquivos do Microsoft Office em arquivos RAR para exfiltração usando uma ferramenta Python personalizada.
"Arid Gopher, como seu predecessor Micropsia, é um malware de roubo de informações, cuja intenção é estabelecer uma base, coletar informações sensíveis do sistema e enviá-las de volta para uma rede de comando e controle (C2)", disse a Deep Instinct na época.
A evidência reunida pela Symantec mostra que o Mantis mudou para implantar três versões distintas do Micropsia e Arid Gopher em três conjuntos de estações de trabalho entre 18 de dezembro de 2022 e 12 de janeiro de 2023, como forma de manter o acesso.
O Arid Gopher, por sua vez, recebeu atualizações regulares e reescritas completas de código, com os atacantes "mutando agressivamente a lógica entre as variantes" como um mecanismo de evasão de detecção.
"O Mantis parece ser um adversário determinado, disposto a investir tempo e esforço para maximizar suas chances de sucesso, como evidenciado pela extensa reescrita de malware e sua decisão de compartimentar ataques contra organizações únicas em várias vertentes separadas para reduzir as chances de detecção de toda a operação", concluiu a Symantec.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...