Donkere modus
PERSBERICHT NU AANLEVEREN
BEDRIJFSABONNEMENT
Volg ons op
x.com/ictberichten
IT BEDRIJVEN
GIDS
IT PR-BUREAU
GID
S
ZOEKEN
UPLOAD
TAGS
ALGEMEEN
Inloggen
Vaakst getagd:
Onderzoek
Personalia
Artificial intelligence (AI)
Cloud
Samenwerking
Overname
Cybersecurity
Financieel
Datacenter
Awards
Rapport
HR (Human Resource)
MKB
Low-code
Digitale transformatie
Microsoft
Internet of Things (IoT)
Schneider Electric
Groei
e-commerce
Innovatie
Gartner Magic Quadrant
Software-as-a-Service-(SaaS)
Start-up
Trends
Partnership
Kaspersky
ICT onderzoek
SAP
Duurzaam
Recent getagd:
AI-agents
Infoblox
DNS for AI Discovery (DNS-AID)
Agent Name Service (ANS)
GoDaddy
Artificial intelligence (AI)
Domain Name System (DNS)
Red Hat AI
Red Hat AI 3.4
Red Hat
Veeam
Veeam Data Platform
VeeamON
bunq
neobank
Screeningplatform
Screeningbedrijf
SKJ-registercheck
Victoria-ID
Cyberbeveiliging
Sophos
Onderzoek
Goederenvervoer
Geotab
KnowBe4
Supply chain-verstoring
Supply Chain Report
Supply Chain
reichelt elektronik
Odin Groep
Datum:
woensdag 9 feb 2022 • 12:10
(4 jaar en 98 dagen geleden)
Bedrijf:
Proofpoint
PR:
AxiCom
Ugg Boots 4 Sale: Een verhaal over Palestijnse spionage
Campagne Details
De meest recente campagnes van TA402 omvatten spear phishing e-mails met links die vaak leiden naar kwaadaardige bestanden. Proofpoint heeft daarin drie verschillende URL-types waargenomen:
Figuur 1. Aanvalsketen TA402 november 2021 - januari 2022.
Variant 1: Door cybercriminelen bestuurd domein (november 2021)
Bij een aanval in november 2021 deed TA402 zich voor als de Quora-website, terwijl er gebruik werd gemaakt van een Gmail-account dat afkomstig was en gecontroleerd werd door een cybercrimineel. De schadelijke URL in de phishingmail was geofenced naar de doellanden. Als het IP-adres van de gebruiker in het beoogde gebied paste, werd de gebruiker omgeleid om het RAR-bestand met het nieuwste TA402-implantaat, NimbleMamba, te downloaden. Als het IP-adres buiten het doelgebied valt, wordt de gebruiker doorgestuurd naar een legitieme nieuwssite, figuur 2.
Figuur 2. Een onschuldige omleiding naar een legitieme nieuwssite https[:]www[.]emaratalyoum[.]com.
Variatie 2: Dropbox URL (december 2021)
In december 2021 gebruikte TA402 meerdere voorwendselen voor phishing, waaronder clickbait naar medische lokmiddelen en lokmiddelen die vertrouwelijke geopolitieke informatie zouden delen. TA402 bleef een door de cybercrimineel gecontroleerde Gmail-account gebruiken, maar schakelde over op Dropbox-URL's om de schadelijke RAR-bestanden met NimbleMamba te leveren. Deze verschuiving van door cybercriminelen gecontroleerde domeinen betekende dat TA402 zijn payloads niet langer kon geofencen. Proofpoint ontdekte dat TA402 niet alleen Dropbox-services misbruikt voor de levering van NimbleMamba, maar ook voor command and control (C2) van malware. Proofpoint deelde het onderzoek en de analyse met Dropbox en zij namen de nodige maatregelen om de activiteit binnen hun organisatie te neutraliseren.
Variatie 3: WordPress omleiding door cybercriminelen gecontroleerd domein (december 2021/januari 2022)
In de laatste campagnes bleef TA402 voor elk van hun doelwitten aangepaste content gebruiken. De inhoud werd alleen licht gewijzigd door het invoegen van een extra WordPress URL die ook werd beheerd door een cybercrimineel. De WordPress site (Figuur 3), die zich voordoet als een nieuws aggregatie van de oorspronkelijke nieuwssite van variant 1, leidt waarschijnlijk naar de download site van de kwaadaardige RAR-bestanden die NimbleMamba bevatten, indien de bezoeker afkomstig is van een IP-adres binnen het doelgebied. Als het bron-IP-adres niet overeenkomt met de doelregio, zal de URL de ontvanger omleiden naar een niet-malicious website, meestal een Arabisch-talige nieuwswebsite (figuur 2).
Figuur 3. Voorbeeld van een WordPress site (https[:]//emaratalyoumcom[.]wordpress[.]com/) die zich voordoet als een nieuwsaggregator in de Arabische taal.
Het gebruik van URL's met geofencing en Dropbox URL's, tonen aan dat TA402 vastbesloten is om e-mailverkeer te verstoren en doelwitten te infecteren met NimbleMamba.
Malware-analyse: NimbleMamba
De aanval van TA402 leidde bij elke variant naar een RAR-bestand met een of meer schadelijke gecomprimeerde uitvoerbare bestanden. Deze uitvoerbare bestanden bevatten een TA402-implantaat dat door Proofpoint NimbleMamba werd genoemd en vaak een extra trojan die door Proofpoint BrittleBush werd genoemd. NimbleMamba is vrijwel zeker bedoeld ter vervanging van LastConn, die Proofpoint in juni 2021 rapporteerde.
Gebaseerd op de nieuwe toepassingen van NimbleMamba, beoordeelt Proofpoint dat NimbleMamba actief wordt ontwikkeld, goed wordt onderhouden en is ontworpen voor gebruik in zeer gerichte verzamelcampagnes van inlichtingen.
Attributie
Proofpoint schrijft de campagnes toe aan TA402 op basis van zowel technische indicatoren als victimologie. De waargenomen aanvalsketens bootsen eerdere TA402-campagnes na. De phishing-campagnes delen thematische elementen met eerdere Molerats-campagnes.
De door Proofpoint geobserveerde campagnes vonden waarschijnlijk plaats op hetzelfde moment als Zscaler's recent gepubliceerde
onderzoek
naar Molerats activiteiten gericht op individuen in Palestina en Turkije, en tonen aan dat Molerats nog steeds in staat is om hun aanvalsketens aan te passen op basis van de doelwitten van hun informatie.
De door NimbleMamba gebruikte beschermingsmaatregelen laten een duidelijke focus zien op het aanvallen van Arabisch sprekenden en computers in het Midden-Oosten. Proofpoint heeft campagnes waargenomen die gericht waren op regeringen in het Midden-Oosten, denktanks op het gebied van buitenlands beleid, en een luchtvaartmaatschappij die aan de staat gelieerd is. Proofpoint is van mening dat TA402 waarschijnlijk Palestijnse doelen ondersteunt, wat consistent is met eerdere beoordelingen van Proofpoint en de bredere sector.
Conclusie
TA402 blijft een bedreiger die laat zien zeer vasteberaden te zijn met zijn gerichte campagnes op het Midden-Oosten. Op basis van de variaties tussen campagnes die NimbleMamba leveren, samen met het eerdere patroon van het ontwikkelen van nieuwe malware na openbaarmaking, schat Proofpoint met gematigd vertrouwen in dat TA402 zowel hun implantaten als infectieketens zal blijven updaten om verdedigingsinspanningen te moeilijker te maken.
Tags
Proofpoint x 197
Phishing x 74
Palestijnse spionage x 1
Recent van Proofpoint
Proofpoint zet innovatieve standaard voor platformonafhankelijke onderzoeken binnen moderne ondernemingen
Proofpoint opent Europees innovatiecentrum in Parijs en breidt regionale investeringen in AI-gestuurde cybersecurity uit
Onderzoek van Proofpoint toont aan dat de helft van organisaties te maken had met AI-incidenten
vrijdag 15 mei 2026
Infoblox en GoDaddy steunen open standaarden voor ontdekking, identificatie en verificatie van AI-agents
Red Hat versterkt AI-infrastructuur met nieuwe producten en diensten
Preview van nieuwe release Veeam Data Platform getoond tijdens VeeamON New York City
13 mei 2026 (4 dagen geleden)
Victoria-ID voegt SKJ-registercheck toe aan screeningsplatform
Amsterdam en Berlijn zijn Europese koplopers in efficiënt goederenvervoer
KnowBe4 introduceert AI-native aanvalssimulatie- en trainingsproduct en nieuwe Content Creation Agent
Veerkracht boven paniek: Nederlandse industrie beter voorbereid op nieuwe supply chain-verstoringen
Odin Groep haalt Data- en AI-specialist Victa aan boord
Becky.works versterkt commerciële organisatie met nieuwe Director of Sales
Veeam introduceert Intelligent ResOps voor het Agentic AI-tijdperk en vertaalt datacontext naar sneller en preciezer herstel
Lees meer in het weekoverzicht
Woensdag 9 feb 2022 • 12:10
Verstreken tijd: 4 jaar en 98 dagen
PR contact
Proofpoint contact
+44 (0)118 402 5900
info-bnl@proofpoint.com
www.proofpoint.com
Spotlight
Expertum Nederland, Qrcus en Partners in Technology bundelen krachten tot full-service SAP partner
Valid Managed Services kondigt overname door DATAGROUP aan
OneGov gaat verder onder de vleugels van Decos
Companial and Fênix announce strategic alliance to strengthen Business Central support in Brazil
Companial Expands to Brazil, Strengthening the Dynamics Ecosystem in LATAM
12Build lanceert vernieuwing in de pre-constructie
Bas Wevers Joins Key2XS Advisory Board
Stedin kiest voor Genesys Cloud CX en Frontline Solutions
Delta-N behaalt Microsoft Specialization voor Agentic DevOps met Azure en GitHub
Ergonomische muis de R-Go Waver — een ambidexter muis voor variërende gebruikers — nu op KICKSTARTER
Blastic toegetreden tot Kentico Accelerator Partner Program
Ron Tolido Joins the Advisory Board of Key2XS
Mitel introduceert high-end SIP-toestellen voor UCaaS - exclusief via BusinessCom
NetBoss verstevigt positie in offensive cybersecuritymarkt door overname ENDSenS
Cyemptive Launches The Umbrella FortressTM at RSAC 2026
Victoria-ID voegt SKJ-registercheck toe aan screeningsplatform
Meer dan helft Gen Z mist zorgafspraak: 74% verwacht actievere rol van zorgorganisaties
Onventis en Adjust bundelen krachten voor succesvolle implementaties
Versgroothandel De Waal ervaart een robuuste samenwerking met IT-partner DNA Services
Waarom steeds meer middelgrote organisaties kiezen voor een IT-audit
BusinessCom versterkt managementstructuur als basis voor verdere groei en professionalisering
Analyseer Encrypted Dataverkeer met PCAP Wireshark 12 mei 2026
Bedrijven zoeken vaker zekerheid bij afhankelijkheid van softwareleveranciers
Stedin kiest voor Genesys Cloud CX en Frontline Solutions
Dit zijn de beste sim only providers in 2026 volgens onderzoek van Keuze.nl
Waarom steeds meer bedrijven hun cloudstrategie heroverwegen
Hoe technologie het interne transport in magazijnen fundamenteel verandert
Duurzame merkstrategie in de IT-sector: van digitaal denken naar tastbaar handelen
EcoVerum, spin-off van Data Tribes, geselecteerd voor Change 100 van meest impactvolle startups wereldwijd
Bereid je voor op de IoT- en security uitdagingen van morgen tijdens de MCS Smart Week of IoT
Infoblox en GoDaddy steunen open standaarden voor ontdekking, identificatie en verificatie van AI-agents
Red Hat versterkt AI-infrastructuur met nieuwe producten en diensten
Preview van nieuwe release Veeam Data Platform getoond tijdens VeeamON New York City
Amsterdam en Berlijn zijn Europese koplopers in efficiënt goederenvervoer
KnowBe4 introduceert AI-native aanvalssimulatie- en trainingsproduct en nieuwe Content Creation Agent
Veerkracht boven paniek: Nederlandse industrie beter voorbereid op nieuwe supply chain-verstoringen
Odin Groep haalt Data- en AI-specialist Victa aan boord
Becky.works versterkt commerciële organisatie met nieuwe Director of Sales
Veeam introduceert Intelligent ResOps voor het Agentic AI-tijdperk en vertaalt datacontext naar sneller en preciezer herstel
Veeam introduceert DataAI Command Platform, de eerste uniforme Data en AI Trust-infrastructuur voor het agentic AI-tijdperk
Data-armoede remt AI-gedreven rendementsgroei
Nieuw onderzoek: 80% van de organisaties in EMEA afgelopen jaar getroffen door minimaal drie identiteitgerelateerde datalekken
NetApp versterkt samenwerking met Red Hat voor betere databeveiliging en schaalbaarheid van Red Hat OpenShift-implementaties
Red Hat introduceert nieuwe soevereine en private cloud-mogelijkheden voor digitale autonomie
PocketBook introduceert de 7-inch Era Lite: premium design voor een toegankelijke prijs