Donkere modus
PERSBERICHT NU AANLEVEREN
BEDRIJFSABONNEMENT
Volg ook via:
IT BEDRIJVEN
GIDS
IT PR-BUREAU
GID
S
ZOEKEN
UPLOAD
TAGS
ALGEMEEN
Inloggen
Vaakst getagd:
Onderzoek
Personalia
Artificial intelligence (AI)
Cloud
Samenwerking
Overname
Cybersecurity
Financieel
Datacenter
Awards
Rapport
HR (Human Resource)
MKB
Low-code
Digitale transformatie
Microsoft
Internet of Things (IoT)
Schneider Electric
Groei
e-commerce
Innovatie
Gartner Magic Quadrant
Software-as-a-Service-(SaaS)
Start-up
Trends
Partnership
Kaspersky
ICT onderzoek
SAP
Duurzaam
Recent getagd:
Software-engineering
Groeiplatform
Trivium eSolutions
Investcorp Technology Partners (ITP)
NetRom Software
Artificial intelligence (AI)
EPAM Systems
Data + AI Summit
Databricks
ClimateGrid
osapiens
osapiens HUB
CO2-certificaten
AI-potentie
HR (Human Resource)
HR Benchmarkonderzoek
Onderzoek
Veeam
NIS2
App
Zonneplan
Zonnestroom
Wuunder
Wuunders Pakketradar
SureSync
Zorg
TA4922
Cybercriminaliteit
Interstellar Group
Personalia
Datum:
woensdag 9 feb 2022 • 12:10
(4 jaar en 145 dagen geleden)
Bedrijf:
Proofpoint
PR:
AxiCom
Ugg Boots 4 Sale: Een verhaal over Palestijnse spionage
Campagne Details
De meest recente campagnes van TA402 omvatten spear phishing e-mails met links die vaak leiden naar kwaadaardige bestanden. Proofpoint heeft daarin drie verschillende URL-types waargenomen:
Figuur 1. Aanvalsketen TA402 november 2021 - januari 2022.
Variant 1: Door cybercriminelen bestuurd domein (november 2021)
Bij een aanval in november 2021 deed TA402 zich voor als de Quora-website, terwijl er gebruik werd gemaakt van een Gmail-account dat afkomstig was en gecontroleerd werd door een cybercrimineel. De schadelijke URL in de phishingmail was geofenced naar de doellanden. Als het IP-adres van de gebruiker in het beoogde gebied paste, werd de gebruiker omgeleid om het RAR-bestand met het nieuwste TA402-implantaat, NimbleMamba, te downloaden. Als het IP-adres buiten het doelgebied valt, wordt de gebruiker doorgestuurd naar een legitieme nieuwssite, figuur 2.
Figuur 2. Een onschuldige omleiding naar een legitieme nieuwssite https[:]www[.]emaratalyoum[.]com.
Variatie 2: Dropbox URL (december 2021)
In december 2021 gebruikte TA402 meerdere voorwendselen voor phishing, waaronder clickbait naar medische lokmiddelen en lokmiddelen die vertrouwelijke geopolitieke informatie zouden delen. TA402 bleef een door de cybercrimineel gecontroleerde Gmail-account gebruiken, maar schakelde over op Dropbox-URL's om de schadelijke RAR-bestanden met NimbleMamba te leveren. Deze verschuiving van door cybercriminelen gecontroleerde domeinen betekende dat TA402 zijn payloads niet langer kon geofencen. Proofpoint ontdekte dat TA402 niet alleen Dropbox-services misbruikt voor de levering van NimbleMamba, maar ook voor command and control (C2) van malware. Proofpoint deelde het onderzoek en de analyse met Dropbox en zij namen de nodige maatregelen om de activiteit binnen hun organisatie te neutraliseren.
Variatie 3: WordPress omleiding door cybercriminelen gecontroleerd domein (december 2021/januari 2022)
In de laatste campagnes bleef TA402 voor elk van hun doelwitten aangepaste content gebruiken. De inhoud werd alleen licht gewijzigd door het invoegen van een extra WordPress URL die ook werd beheerd door een cybercrimineel. De WordPress site (Figuur 3), die zich voordoet als een nieuws aggregatie van de oorspronkelijke nieuwssite van variant 1, leidt waarschijnlijk naar de download site van de kwaadaardige RAR-bestanden die NimbleMamba bevatten, indien de bezoeker afkomstig is van een IP-adres binnen het doelgebied. Als het bron-IP-adres niet overeenkomt met de doelregio, zal de URL de ontvanger omleiden naar een niet-malicious website, meestal een Arabisch-talige nieuwswebsite (figuur 2).
Figuur 3. Voorbeeld van een WordPress site (https[:]//emaratalyoumcom[.]wordpress[.]com/) die zich voordoet als een nieuwsaggregator in de Arabische taal.
Het gebruik van URL's met geofencing en Dropbox URL's, tonen aan dat TA402 vastbesloten is om e-mailverkeer te verstoren en doelwitten te infecteren met NimbleMamba.
Malware-analyse: NimbleMamba
De aanval van TA402 leidde bij elke variant naar een RAR-bestand met een of meer schadelijke gecomprimeerde uitvoerbare bestanden. Deze uitvoerbare bestanden bevatten een TA402-implantaat dat door Proofpoint NimbleMamba werd genoemd en vaak een extra trojan die door Proofpoint BrittleBush werd genoemd. NimbleMamba is vrijwel zeker bedoeld ter vervanging van LastConn, die Proofpoint in juni 2021 rapporteerde.
Gebaseerd op de nieuwe toepassingen van NimbleMamba, beoordeelt Proofpoint dat NimbleMamba actief wordt ontwikkeld, goed wordt onderhouden en is ontworpen voor gebruik in zeer gerichte verzamelcampagnes van inlichtingen.
Attributie
Proofpoint schrijft de campagnes toe aan TA402 op basis van zowel technische indicatoren als victimologie. De waargenomen aanvalsketens bootsen eerdere TA402-campagnes na. De phishing-campagnes delen thematische elementen met eerdere Molerats-campagnes.
De door Proofpoint geobserveerde campagnes vonden waarschijnlijk plaats op hetzelfde moment als Zscaler's recent gepubliceerde
onderzoek
naar Molerats activiteiten gericht op individuen in Palestina en Turkije, en tonen aan dat Molerats nog steeds in staat is om hun aanvalsketens aan te passen op basis van de doelwitten van hun informatie.
De door NimbleMamba gebruikte beschermingsmaatregelen laten een duidelijke focus zien op het aanvallen van Arabisch sprekenden en computers in het Midden-Oosten. Proofpoint heeft campagnes waargenomen die gericht waren op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid, en een luchtvaartmaatschappij die aan de staat gelieerd is. Proofpoint is van mening dat TA402 waarschijnlijk Palestijnse doelen ondersteunt, wat consistent is met eerdere beoordelingen van Proofpoint en de bredere sector.
Conclusie
TA402 blijft een bedreiger die laat zien zeer vasteberaden te zijn met zijn gerichte campagnes op het Midden-Oosten. Op basis van de variaties tussen campagnes die NimbleMamba leveren, samen met het eerdere patroon van het ontwikkelen van nieuwe malware na openbaarmaking, schat Proofpoint met gematigd vertrouwen in dat TA402 zowel hun implantaten als infectieketens zal blijven updaten om verdedigingsinspanningen te moeilijker te maken.
Tags
Proofpoint x 203
Phishing x 75
Palestijnse spionage x 1
Recent van Proofpoint
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit
Proofpoint en IBM X-Force ondersteunen verstoring van Operation Endgame
Proofpoint sluit zich aan bij OpenAI Daybreak Cyber Partner Program om verantwoorde, door AI aangestuurde cyberverdediging te bevorderen
donderdag 2 juli 2026
NetRom Software en Trivium eSolutions vormen nieuw groeiplatform voor software-engineering
EPAM uitgeroepen tot Databricks AI Consulting & Systems Integrator Partner van het Jaar 2026 voor het realiseren van meetbare bedrijfswaarde met AI
osapiens breidt zijn platform uit met specifeke oplossing voor CO2-certificaten
Twee derde van HR benut AI-potentie nog lang niet
AI vergroot de kloof in gereedheid voor NIS2; 62% van de Nederlandse organisaties verwacht meer complexiteit
Zonneplan-app toont voortaan hoeveel zonnestroom klanten direct zelf gebruiken
Extreme hitte legt kwetsbaarheid van logistieke pieken bloot
AI wordt breed ingezet in zorg, maar beleid is slechts bij klein aantal organisaties aanwezig
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit
Interstellar Group benoemt Gerjon Kunst tot AI Lead
Lees meer in het weekoverzicht
Woensdag 9 feb 2022 • 12:10
Verstreken tijd: 4 jaar en 145 dagen
PR contact
Proofpoint contact
+44 (0)118 402 5900
info-bnl@proofpoint.com
www.proofpoint.com
Spotlight
NetRom Software en Trivium eSolutions vormen nieuw groeiplatform voor software-engineering
FC Barcelona Academy markeert nieuwe internationale stap voor Ravi Ryan Mohanlal
Antennex wint BTG High Tech Award, Startups 2026
Gratis omscholen of bijscholen via NHA
Stefan Mackaaij per 1 juli nieuwe ceo Polly.Help
Neo ZIS|EPD-klanten omarmen nieuwe aanmeldzuil met groot enthousiasme
Incentro gaat full agentic: 'Wie AI op oude processen plakt, lost niks op'
Nieuwe Amsterdamse rondvaart verbindt de stad van nu met een 360° virtual reality-reis naar de 17e eeuw
synaforce kondigt de overname van Fairbanks International Group aan en zet daarmee een belangrijke stap in de verdere uitbouw van haar Europese platform voor overheidsclouds, open source oplossingen en AI-ready infrastructuren
Overname Valid Managed Services door DATAGROUP succesvol afgerond
Heftruck certificaat bewijs dat je veilig en professioneel werkt
Box Brownies gaat verder als Brownies.nl en wil hét online browniecadeauplatform van Nederland worden
Nextview Consulting signs definitive agreement to acquire POLE Consulting to scale its Salesforce powerhouse in Sweden and accelerate Agentic Enterprise transformation across the Nordics
Wachttijden en kosten rijbewijs zetten druk op voorbereiding: focus verschuift naar theorie
Keuze.nl presenteert de beste energieleveranciers van 2026
Digitale reisplatforms pakken de bureaucratische wirwar van Europese milieuzones aan
Victoria-ID lanceert React Native Bridge: ID-Check direct integreerbaar in iOS en Android-apps
DNA Services lanceert MKB SOC: Veilig online ondernemen met ons Security Operations Center
AI klantenservice helpt MKB bij bereikbaarheid en opvolging
Lokale aanbieder speelt in op stijgende vraag naar mobiele service
Waarom steeds meer mensen kiezen voor een VPN
BusinessCom reikt partner awards uit tijdens Cybersecurity LIVE 2026
Msafe: veilig bestanden delen wordt auditvraagstuk voor organisaties
Analyseer Encrypted Dataverkeer met PCAP Wireshark 29 juni 2026
Keuze.nl presenteert de beste internetproviders van 2026
Ruim helft Nederlanders vindt no-show kosten zonder duidelijke afspraakherinnering onredelijk
BusinessCom en Q data solutions bundelen krachten voor managed datasim-oplossingen
Lagerhuis Rosa keert terug met het ondernemersdebat
Slimmer online winkelen: nieuwe inzichten helpen consumenten betere deals te vinden
Online modeverkoop groeit harder dan fysieke kledingwinkels
EPAM uitgeroepen tot Databricks AI Consulting & Systems Integrator Partner van het Jaar 2026 voor het realiseren van meetbare bedrijfswaarde met AI
osapiens breidt zijn platform uit met specifeke oplossing voor CO2-certificaten
Twee derde van HR benut AI-potentie nog lang niet
AI vergroot de kloof in gereedheid voor NIS2; 62% van de Nederlandse organisaties verwacht meer complexiteit
Extreme hitte legt kwetsbaarheid van logistieke pieken bloot
AI wordt breed ingezet in zorg, maar beleid is slechts bij klein aantal organisaties aanwezig
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit
Techleap werkt samen met Discord voor volgende generatie Nederlandse gamingfounders
NetApp lanceert StorageGRID 12.1 voor AI-workloads op grote schaal
Keepit verhoogt en herfinanciert kredietfaciliteiten tot 90 miljoen USD
Workday benoemt Bernd Leukert tot lid van de EMEA-adviesraad
Digitale reisplatforms pakken de bureaucratische wirwar van Europese milieuzones aan
Tamás Fogl aangesteld als CEO Buckaroo
Batterijpark van ENGIE in Lelystad officieel geopend door Koningin Máxima
Ruim de helft van de zakelijke dienstverleners laat omzet liggen door gebrek aan projectinzicht