一个APT攻击黑客组织可能与巴勒斯坦结盟,不怀好意,利用以前没有记录的名为NimbleMamba的植入物,已经开始了一项新的攻击。

企业安全公司 Proofpoint 在一份报告中说,这些入侵利用了一个复杂的攻击链,目标是中东 *** 、外交政策智囊团和一家国有航空公司。该报告将隐蔽攻击归咎于一个名为 Molerats (又名 TA402)的威胁攻击者。

 该APT 组织不断更新他们的恶意软件植入和传播方式,因而臭名昭著。最近它似乎与针对巴勒斯坦和土耳其的人权活动家和记者的间谍攻击有一定联系,在2021年6月曝光的一次攻击中部署了一个叫做  LastConn的后门。

攻击并未停止,背后的攻击者们积极重组武器库,开发了NimbleMamba,这个产品被设计用来取代 LastConn,而LastConn被认为是另一个叫做SharpStage的后门的升级版本,该组织在2020年12月的攻击中使用了这个后门。

“ NimbleMamba 使用护栏来确保所有被感染的受害者都在TA402的目标区域内,”研究人员说,并补充道,这个恶意软件“使用 Dropbox API 来进行命令和控制以及渗透”,表明它被用于“高度针对性的情报收集活动”

另外还使用了一个名为 BrittleBush 的木马,它与远程服务器建立通信,检索 base64编码的命令,以便在受感染的机器上执行。此外,据说这些袭击与上述针对巴勒斯坦和土耳其的恶意活动是同时发生的。

感染序列反映了攻击者用来破坏其目标用了完全相同的技术。鱼叉式 *** 钓鱼邮件是起点,包含地理链接,指向恶意软件的有效载荷,但只有在收件人在目标区域之一的情况下才可行。如果目标位于攻击半径之外,链接会将用户重定向到一个良性的新闻网站,比如 Emarat Al Youm。

然而,最近在2021年12月和2022年1月的攻击中,攻击者使用了 Dropbox 的网址和攻击者控制的 WordPress 网站来传输包含 NimbleMamba 和 BrittleBush 的恶意 RAR 文件。

这一进展是对手使用云服务(如 Dropbox)发动攻击的最新例证,更不用说那些狡猾的攻击者能够多迅速地对公开披露的入侵 *** 做出反应,从而创造出一些强有力的、有效的 *** ,可以突破安全和检测层。

研究人员总结说: “ ta402仍然是一个效率高的攻击者,它通过针对中东的高度有针对性的行动表明了自己的持久性。”“(这两次)攻击表明,Molerats仍然有能力根据情报目标修改攻击链。”