Penyerang siber yang disponsori negara menggunakan Google Drive, Dropbox, dan layanan sah lainnya untuk menjatuhkan spyware ke target Timur Tengah dan mengekstrak data.
File berbahaya yang dipalsukan agar terlihat seperti konten sah yang terkait dengan konflik Israel-Palestina digunakan untuk menargetkan warga Palestina terkemuka, serta aktivis dan jurnalis di Turki, dengan spyware.
Itu menurut pengungkapan dari Zscaler, yang mengaitkan serangan siber dengan ancaman persisten tingkat lanjut (APT) MoleRats. Tim peneliti Zscaler mampu mengikat MoleRats, sebuah kelompok berbahasa Arab dengan sejarah menargetkan kepentingan Palestina, untuk kampanye ini karena tumpang tindih dalam payload .NET dan server command-and-control (C2) dengan serangan APT MoleRats sebelumnya.
“Target dalam kampanye ini dipilih secara khusus oleh aktor ancaman dan mereka termasuk anggota penting dari sektor perbankan di Palestina, orang-orang yang terkait dengan partai politik Palestina, serta aktivis hak asasi manusia dan jurnalis di Turki,” analis Zscaler menemukan.
Para analis juga menemukan data sertifikat SSL domain yang tumpang tindih dalam serangan ini dan serangan MoleRats yang diketahui sebelumnya, serta domain umum yang digunakan untuk resolusi DNS pasif, tambah laporan itu.
Serangan itu memberikan umpan berbahaya konten berbahasa Arab yang tampaknya terkait dengan konflik Palestina dengan Israel, dengan kode makro, yang menjalankan perintah PowerShell untuk mengambil malware:
Setelah dieksekusi, malware membuat pintu belakang ke perangkat korban dan mengunduh kontennya ke folder Dropbox, menurut para peneliti, yang melaporkan menemukan setidaknya lima Dropbox yang saat ini digunakan oleh penyerang.
Zscaler melacak rantai serangan kembali melalui Dropbox dan menemukan bahwa mesin APT beroperasi di Belanda dengan subnet IP yang sama dengan C2, bersama dengan domain yang digunakan dalam kampanye APT MoleRats sebelumnya.
Serangan MoleRats terbaru menunjukkan beberapa inovasi dibandingkan kampanye sebelumnya dalam pengiriman pintu belakang, menurut laporan itu.
Laporan Zscaler muncul di tengah ledakan serangan APT baru-baru ini, yang naik lebih dari 50 persen selama setahun terakhir. Itu sebagian besar didorong oleh serangan Log4Shell, menurut Check Point Research baru-baru ini.
Selengkapnya : Threat Post
