Symantec обнаружила Arid Gopher: новейшее оружие в атаках на Ближний Восток

Специалисты компании Symantec сообщают, что группировка AridViper (Mantis, APT-C-23, Desert Falcon) с сентября 2022 года атакует цели в Палестине, используя обновленные варианты своего набора вредоносных программ.

Ещё в 2015 исследователи «Лаборатории Касперского» предположили, что хакеры AridViper являются носителями арабского языка и базируются в Палестине, Египте и Турции. Предыдущие публичные отчеты также связывали группу с киберподразделением ХАМАС. В своих атаках хакеры Mantis использовали арсенал собственных инструментов под названием ViperRat , FrozenCell (VolatileVenom) и Micropsia для проведения скрытых атаках на Windows, Android и iOS.

В апреле 2022 года высокопоставленные израильские лица, работающие в секретных организациях сектора обороны, правоохранительных органов и служб экстренной помощи, стали жертвами бэкдора Windows под названием BarbWire, связанным с AridViper. Цепочка атак включала использование фишинговых писем и поддельных профилей в соцсетях для того, чтобы убедить жертву установить вредоносное ПО.

В атаках, обнаруженных Symantec, используются обновленные версии собственных имплантатов группы Micropsia и Arid Gopher для проникновения в систему жертвы и эксфильтрации украденных данных.

Бэкдор Arid Gopher, написанный на языке Golang, представляет собой вариант вредоносного ПО Micropsia , которое впервые было задокументировано в марте 2022 года. Работа на Golang позволяет вредоносному ПО оставаться незамеченным.

Arid Gopher выполняет следующие функции:

• создаёт плацдарм для злоумышленника;
• собирает системную информацию;
• отправляет украденные данные на С2-сервер.

Micropsia, наряду со своей способностью запускать вторичные полезные нагрузки (например, Arid Gopher), также предназначена для:

• регистрации нажатий клавиш (кейлоггинг);
• создания снимков экрана;
• сохранения файлов Microsoft Office в RAR-архивах для последующей эксфильтрации с помощью специального инструмента на основе Python.

Специалисты Symantec отмечают, что Arid Gopher регулярно обновляется и полностью переписывает код, при этом киберпреступники «агрессивно мутируют логику между вариантами» в качестве механизма уклонения от обнаружения.

По словам экспертов, Mantis является решительным противником, готовым потратить время и усилия на то, чтобы максимизировать свои шансы на успех, о чем свидетельствует переписывание вредоносного ПО и решение разделить атаки против отдельных организаций на несколько отдельных направлений, чтобы снизить вероятность обнаружения всей операции.