Op maandag 12 februari publiceerde het onderzoeksteam van IntezerLab informatie over de ontdekking van een kwaadaardige campagne die zich voordeed als het Israëlische National Cybersecurity Directorate en verschillende soorten malware verspreidde, zoals Android en Microsoft wipers, om anti-Netanyahu propaganda te verspreiden. Onderzoekers van HarfangLab, analyseerden de samples die door IntezerLab waren geïdentificeerd en ontdekten een aantal andere varianten van dezelfde campagne.
De infectievector bleek een e-mail te zijn die zich voordeed als het Israëlische National Cybersecurity Directorate (INCD), verzonden op 11 februari 2024. De e-mail legt uit dat "
INCD een op handen zijnde grote cyberaanval heeft ontdekt, georkestreerd door Iran, waarbij gebruik wordt gemaakt van voorheen onbekende kwetsbaarheden op persoonlijke computers en smartphones van burgers". De e-mail dringt er vervolgens bij gebruikers op aan om dringend beveiligingspatches te downloaden voor macOS, iOS, Windows en Android, waarbij macOS- en iOS-links verwijzen naar een legitieme INCD-site.
Zodra ze hebben vastgesteld dat de apparaten kunnen worden geïnfecteerd, voeren de aanvallers hun kwaadaardige acties uit op de apparaten van de slachtoffers. Er worden een aantal ingesloten componenten ingezet (geplande taakverspreider, wipers, JPG- en videobestanden). Zodra alle bestanden zijn ingezet, start de loader alle uitvoerbare bestanden, stelt het de gedownloade afbeelding in als achtergrond van de computer, zet het geluid aan en start de video met de standaardspeler. Terwijl de video wordt afgespeeld, wordt op de achtergrond een wiper uitgevoerd die het systeem doorzoekt op bestanden die overschreven kunnen worden. Elk van deze bestanden wordt vervolgens geopend en overschreven met willekeurige bytes. Er is ook destructieve software voor Android smartphones.
Verschillende elementen die zijn geïdentificeerd in deze desinformatiecampagne (de titel, de handtekening, de bekende omgekeerde rode driehoek-emoji, de berichten en de gebruikte methoden), evenals de wijziging in de datum die wordt weergegeven op de loaders naar 7 oktober 2023, de datum van de Hamas-aanval op Israël, wijzen erop dat een APT-groep die banden heeft met Hamas achter deze campagne zit
. De onderzoekers van HarfangLab schatten momenteel dat er enkele tientallen schadelijke payloads zijn gedownload.
Ivan Kwiatkowski, cybersecurity-onderzoeker bij HarfangLab: "
Deze bevindingen bevestigen dat militaire operaties nu systematisch gepaard gaan met een cybercomponent, in dit geval voor destabilisatiedoeleinden. Hoewel de impact van deze campagne relatief beperkt lijkt, lijkt het bestaan ervan te bevestigen dat 2024 een jaar van hoge spanning zal worden."
De onderzoekers van HarfangLab hebben in hun rapport de compromitteringsindicatoren en de details van de tijdens deze analyse ontdekte elementen gedetailleerd beschreven, evenals wat hen in staat stelt om met een hoge mate van betrouwbaarheid toe te schrijven dat deze campagne is gepleegd door een APT-groep die banden heeft met Hamas.
Ze zijn ook beschikbaar om de methodologie van deze desinformatiecampagne te bespreken, evenals de plaats van informatiemanipulatie in het huidige cyberlandschap.
Over HarfangLab
HarfangLab is een Frans cyberbeveiligingsbedrijf dat EDR-software (Endpoint Detection and Response) levert, een technologie die anticipeert op cyberaanvallen op computers en servers en deze neutraliseert. HarfangLab was de eerste EDR die in 2020 door ANSSI werd gecertificeerd. Het bedrijf heeft vandaag de dag meer dan 300 klanten, waaronder overheidsinstellingen, bedrijven en internationale organisaties die actief zijn in zeer gevoelige sectoren. De EDR van HarfangLab, die momenteel wordt ingezet op meer dan 800.000 endpoints, onderscheidt zich door: de openheid van de oplossing, die van nature integreert met alle andere beveiligingsbricks; de transparantie, omdat de gegevens die door de EDR worden verzameld toegankelijk blijven; en de digitale onafhankelijkheid die het biedt, omdat klanten vrij zijn om hun hostingmodus te kiezen: public of private cloud, of hun eigen infrastructuur.
Meer informatie op:
www.harfanglab.io