Donkere modus
PERSBERICHT AANLEVEREN
Volg ons op
x.com/ictberichten
IT BEDRIJVEN
GIDS
IT PR-BUREAU
GID
S
ZOEKEN
UPLOAD
TAGS
ALGEMEEN
Inloggen
Vaakst getagd:
Onderzoek
Personalia
Cloud
Artificial intelligence (AI)
Samenwerking
Overname
Financieel
Datacenter
Cybersecurity
Awards
Rapport
HR (Human Resource)
MKB
Low-code
Digitale transformatie
Internet of Things (IoT)
Microsoft
Groei
e-commerce
Innovatie
Software-as-a-Service-(SaaS)
Gartner Magic Quadrant
Start-up
Schneider Electric
Trends
Kaspersky
ICT onderzoek
App
Duurzaam
Partnership
Recent getagd:
Kraken
NinjaTrader
Proofpoint
CLP
MSDS
PCN
VIB
Unique Formula Identifier (UFI)
Poison Centre Notifications (PCN)
Logistiek
GXO Logistics
Toolstation
Red Hat Enterprise Linux
Red Hat
Red Hat Enterprise Linux 10
RHEL 10
Artificial intelligence (AI)
Pegasystems
AI-agents
Dell Technologies
Dell AI Factory
NVIDIA
Ransomware
Cyberdreiging
Computerclub HCC
Personalia
Datagestuurd Werken
Conclusion
Hot ITem Conclusion
Conclusion Low Code Company
Datum:
woensdag 9 feb 2022 12:10
(3 jaar en 102 dagen geleden)
Bedrijf:
Proofpoint
PR:
AxiCom
Ugg Boots 4 Sale: Een verhaal over Palestijnse spionage
Campagne Details
De meest recente campagnes van TA402 omvatten spear phishing e-mails met links die vaak leiden naar kwaadaardige bestanden. Proofpoint heeft daarin drie verschillende URL-types waargenomen:
Figuur 1. Aanvalsketen TA402 november 2021 - januari 2022.
Variant 1: Door cybercriminelen bestuurd domein (november 2021)
Bij een aanval in november 2021 deed TA402 zich voor als de Quora-website, terwijl er gebruik werd gemaakt van een Gmail-account dat afkomstig was en gecontroleerd werd door een cybercrimineel. De schadelijke URL in de phishingmail was geofenced naar de doellanden. Als het IP-adres van de gebruiker in het beoogde gebied paste, werd de gebruiker omgeleid om het RAR-bestand met het nieuwste TA402-implantaat, NimbleMamba, te downloaden. Als het IP-adres buiten het doelgebied valt, wordt de gebruiker doorgestuurd naar een legitieme nieuwssite, figuur 2.
Figuur 2. Een onschuldige omleiding naar een legitieme nieuwssite https[:]www[.]emaratalyoum[.]com.
Variatie 2: Dropbox URL (december 2021)
In december 2021 gebruikte TA402 meerdere voorwendselen voor phishing, waaronder clickbait naar medische lokmiddelen en lokmiddelen die vertrouwelijke geopolitieke informatie zouden delen. TA402 bleef een door de cybercrimineel gecontroleerde Gmail-account gebruiken, maar schakelde over op Dropbox-URL's om de schadelijke RAR-bestanden met NimbleMamba te leveren. Deze verschuiving van door cybercriminelen gecontroleerde domeinen betekende dat TA402 zijn payloads niet langer kon geofencen. Proofpoint ontdekte dat TA402 niet alleen Dropbox-services misbruikt voor de levering van NimbleMamba, maar ook voor command and control (C2) van malware. Proofpoint deelde het onderzoek en de analyse met Dropbox en zij namen de nodige maatregelen om de activiteit binnen hun organisatie te neutraliseren.
Variatie 3: WordPress omleiding door cybercriminelen gecontroleerd domein (december 2021/januari 2022)
In de laatste campagnes bleef TA402 voor elk van hun doelwitten aangepaste content gebruiken. De inhoud werd alleen licht gewijzigd door het invoegen van een extra WordPress URL die ook werd beheerd door een cybercrimineel. De WordPress site (Figuur 3), die zich voordoet als een nieuws aggregatie van de oorspronkelijke nieuwssite van variant 1, leidt waarschijnlijk naar de download site van de kwaadaardige RAR-bestanden die NimbleMamba bevatten, indien de bezoeker afkomstig is van een IP-adres binnen het doelgebied. Als het bron-IP-adres niet overeenkomt met de doelregio, zal de URL de ontvanger omleiden naar een niet-malicious website, meestal een Arabisch-talige nieuwswebsite (figuur 2).
Figuur 3. Voorbeeld van een WordPress site (https[:]//emaratalyoumcom[.]wordpress[.]com/) die zich voordoet als een nieuwsaggregator in de Arabische taal.
Het gebruik van URL's met geofencing en Dropbox URL's, tonen aan dat TA402 vastbesloten is om e-mailverkeer te verstoren en doelwitten te infecteren met NimbleMamba.
Malware-analyse: NimbleMamba
De aanval van TA402 leidde bij elke variant naar een RAR-bestand met een of meer schadelijke gecomprimeerde uitvoerbare bestanden. Deze uitvoerbare bestanden bevatten een TA402-implantaat dat door Proofpoint NimbleMamba werd genoemd en vaak een extra trojan die door Proofpoint BrittleBush werd genoemd. NimbleMamba is vrijwel zeker bedoeld ter vervanging van LastConn, die Proofpoint in juni 2021 rapporteerde.
Gebaseerd op de nieuwe toepassingen van NimbleMamba, beoordeelt Proofpoint dat NimbleMamba actief wordt ontwikkeld, goed wordt onderhouden en is ontworpen voor gebruik in zeer gerichte verzamelcampagnes van inlichtingen.
Attributie
Proofpoint schrijft de campagnes toe aan TA402 op basis van zowel technische indicatoren als victimologie. De waargenomen aanvalsketens bootsen eerdere TA402-campagnes na. De phishing-campagnes delen thematische elementen met eerdere Molerats-campagnes.
De door Proofpoint geobserveerde campagnes vonden waarschijnlijk plaats op hetzelfde moment als Zscaler's recent gepubliceerde
onderzoek
naar Molerats activiteiten gericht op individuen in Palestina en Turkije, en tonen aan dat Molerats nog steeds in staat is om hun aanvalsketens aan te passen op basis van de doelwitten van hun informatie.
De door NimbleMamba gebruikte beschermingsmaatregelen laten een duidelijke focus zien op het aanvallen van Arabisch sprekenden en computers in het Midden-Oosten. Proofpoint heeft campagnes waargenomen die gericht waren op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid, en een luchtvaartmaatschappij die aan de staat gelieerd is. Proofpoint is van mening dat TA402 waarschijnlijk Palestijnse doelen ondersteunt, wat consistent is met eerdere beoordelingen van Proofpoint en de bredere sector.
Conclusie
TA402 blijft een bedreiger die laat zien zeer vasteberaden te zijn met zijn gerichte campagnes op het Midden-Oosten. Op basis van de variaties tussen campagnes die NimbleMamba leveren, samen met het eerdere patroon van het ontwikkelen van nieuwe malware na openbaarmaking, schat Proofpoint met gematigd vertrouwen in dat TA402 zowel hun implantaten als infectieketens zal blijven updaten om verdedigingsinspanningen te moeilijker te maken.
Tags
Proofpoint x 164
Phishing x 60
Palestijnse spionage x 1
dinsdag 20 mei 2025
Lancering van UFI.EU – Eén centraal platform voor PCN, UFI, CLP en MSDS-diensten
Kraken lanceert grootste gereguleerde futures-aanbod in Europa
Noord-Koreaanse dreigingsactoren richten zich op Oekraïense overheidsinstanties
Toolstation kiest GXO als logistieke partner in Nederland
Red Hat lanceert Red Hat Enterprise Linux 10: slimmer, veiliger en klaar voor hybride omgevingen
Pega introduceert vijf nieuwe AI-agents voor veilige en voorspelbare automatisering zonder risico’s op black box-AI
Dell Technologies versnelt AI-innovatie met infrastructuur, oplossingen en diensten
Academic Startup Competition 2025
Dell Technologies onthult volgende generatie enterprise AI-oplossingen met NVIDIA
Nieuwe cyberdreigingen en praktische beveiligingstips in het digitale tijdperk
Lees meer in het weekoverzicht
Geplaatst:
woensdag 9 feb 2022 12:10
Verstreken tijd: 3 jaar en 102 dagen
PR contact
Bedrijfsinfo
+44 (0)118 402 5900
info-bnl@proofpoint.com
www.proofpoint.com
Spotlight
Lancering van UFI.EU – Eén centraal platform voor PCN, UFI, CLP en MSDS-diensten
The Factory behaalt de Digital & App Innovation Solutions Partner status van Microsoft
Macanta en SignPath kondigen strategisch partnerschap aan om software supply chain-security in Europa te versterken
Nieuw onderzoek van Keuze.nl benoemt de beste energieleveranciers van 2025
Alleo versterkt positie in benefits-markt met overname The Office Service
Reflex Online integreert reserveringssoftware met Microsoft Teams en Outlook
LocatieRapport helpt lokale ondernemers bij het kiezen van de beste buurt voor hun zaak
Groei, gastvrijheid en vooruitgang: Eline Deijs als Managing Director aan het roer bij Stromma Nederland
Messaging-leverancier Spryng krijgt nieuwe General Manager: Naomi Vonk neemt het stokje over van oprichter Marc Rottinghuis
Bilihome brengt babies eerder thuis door de slimme testrobot van Axini
Glampings.com krijgt boost van €1 miljoen: founders van o.a. KNAB / Albelli investeren in snelgroeiend boekingsplatform
Konica Minolta kiest voor QR Connect om service-optimalisatie te realiseren met ServiceNow
Noord-Amerikaanse internet infrastructuur brancheorganisatie i2Coalition kiest HostingJournalist.com als mediapartner
The Caring Company lanceert Contact Framework: een uniek raamwerk voor het klantcontact bij mkb ondernemingen
Pieter Schoen investeert vrolijk door: Miljoenen euro’s in aanbestedingssoftware Brainial
Lokale AI-verwerking: Voor welke zakelijke gebruikers echt noodzakelijk?
Networking4all biedt API en ACME integratie voor automatisering van SSL-TLS certificaat management processen
Networking4all versterkt positie met NIS2 Quality Mark Auditor Accreditatie
Microsoft lanceert nieuwe Surface Pro 12 inch en Surface Laptop 13 inch voor zakelijke gebruikers!
Nieuw onderzoek van Keuze.nl benoemt de beste energieleveranciers van 2025
Wat is Endpoint Security precies voor zakelijke laptops?
Website laten maken in Doetinchem? Caddy Marketing bouwt resultaatgerichte websites voor lokale ondernemers
Nieuwe fase voor Vlirdens: Carmen Ekkerink benoemd tot Managing Director
De beste zakelijke laptops voor een hybride werkomgeving in 2025!
Würth zet grote stap richting slimmer en gestructureerd werken met Facilitor
Messaging-leverancier Spryng krijgt nieuwe General Manager: Naomi Vonk neemt het stokje over van oprichter Marc Rottinghuis
Bredenoord B.V. is officieel live gegaan met het facilitair systeem Facilitor!
Impact van de Meldplicht in NIS2 op Cybersecurity
Red Cactus nu beschikbaar via My-Connect Portal van BusinessCom
Onventis ontvangt dubbele erkenning in Spend Matters Spring 2025 SolutionMap
Kraken lanceert grootste gereguleerde futures-aanbod in Europa
Noord-Koreaanse dreigingsactoren richten zich op Oekraïense overheidsinstanties
Toolstation kiest GXO als logistieke partner in Nederland
Red Hat lanceert Red Hat Enterprise Linux 10: slimmer, veiliger en klaar voor hybride omgevingen
Pega introduceert vijf nieuwe AI-agents voor veilige en voorspelbare automatisering zonder risico’s op black box-AI
Dell Technologies versnelt AI-innovatie met infrastructuur, oplossingen en diensten
Academic Startup Competition 2025
Dell Technologies onthult volgende generatie enterprise AI-oplossingen met NVIDIA
Nieuwe cyberdreigingen en praktische beveiligingstips in het digitale tijdperk
Daniëlle Graat benoemd tot directeur bij Hot ITem Conclusion
PIDZ onderstreept betrouwbaarheid met SNA-certificering en ABU-lidmaatschap
Schneider Electric kondigt meerjarig initiatief aan voor de ontwikkeling van een AI-native ecosysteem voor duurzaamheid en energiebeheer
Databricks lanceert Data Intelligence Platform voor Marketing
DICTU gunt mantel Applicatiediensten aan samenwerking IBM, ilionx en Eviden
Geheimen uit de bijenkast: data en analytics geven inzicht in bijengezondheid