What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-12-25 12:30:00 | Profil de l'acteur de menace: Aridviper Threat Actor Profile: AridViper (lien direct) |
> Un prédateur furtif se cache dans le vaste désert numérique impitoyable, connu sous le nom d'Aridviper.Comme un ...
>A stealthy predator lurks in the vast, unforgiving digital desert, known as AridViper. Like a... |
Threat | APT-C-23 | ★★★ |
 |
2023-11-08 21:19:17 | Arid Viper | APT\'s Nest of SpyC23 Malware Continues to Target Android Devices (lien direct) | #### Description
Le groupe Arid Viper a une longue histoire d'utilisation de logiciels malveillants mobiles, y compris au moins quatre familles spyware Android et un implant iOS de courte durée, la phénakite.La famille des logiciels malveillants Android Spyc23 existe depuis au moins 2019, bien que le code partagé entre les familles de spyware Arid Viper remonte à 2017. Il a été signalé pour la première fois en 2020 par ESET dans une campagne où l'acteur a utilisé une boutique d'applications tierces pour distribuer des armes à l'armement.Packages Android (APK).Cette campagne comportait plusieurs applications conçues pour imiter les gestionnaires de télégrammes et d'applications Android.
Jusqu'à 2022 et au début de 2023, Arid Viper a développé plusieurs nouvelles versions SPYC23 qui partagent ces thèmes: deux applications imitent Telegram, tandis qu'un autre est appelé en interne, mais est basé sur une application de messagerie sur le thème de la romance appelée Skipped Messenger.Cisco Talos a récemment rendu compte de l'histoire de Sauted Messenger, révélant que l'application de rencontres autrefois-benon a probablement été transmise du développeur d'origine à l'acteur Arid Viper.
#### URL de référence (s)
1.https://www.sentinelone.com/labs/arid-viper-apts-st-of-spyc23-malware-continues-to-target-android-devices/
#### Date de publication
6 novembre 2023
#### Auteurs)
Alex Delamotte
#### Description The Arid Viper group has a long history of using mobile malware, including at least four Android spyware families and one short-lived iOS implant, Phenakite. The SpyC23 Android malware family has existed since at least 2019, though shared code between the Arid Viper spyware families dates back to 2017. It was first reported in 2020 by ESET in a campaign where the actor used a third-party app store to distribute weaponized Android packages (APK). That campaign featured several apps designed to mimic Telegram and Android application update managers. Through 2022 and early 2023, Arid Viper developed several newer SpyC23 versions that share these themes: two apps mimick Telegram, while another is internally called APP-UPGRADE but is based on a romance-themed messaging app called Skipped Messenger. Cisco Talos recently reported on the history of Skipped Messenger, revealing that the once-benign dating application was likely passed from the original developer to the Arid Viper actor. #### Reference URL(s) 1. https://www.sentinelone.com/labs/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices/ #### Publication Date November 6, 2023 #### Author(s) Alex Delamotte |
Malware Mobile | APT-C-23 APT-C-23 | ★★★ |
 |
2023-11-06 16:13:44 | Viper aride |Le nid de malware Spyc23 d'Apt \\ continue de cibler les appareils Android Arid Viper | APT\\'s Nest of SpyC23 Malware Continues to Target Android Devices (lien direct) |
L'acteur de menace aligné par le Hamas offre des logiciels espions via des applications armées qui se faisaient passer pour télégramme ou messager sauté.
Hamas-aligned threat actor delivers spyware through weaponized apps posing as Telegram or Skipped messenger. |
Malware Threat Mobile | APT-C-23 | ★★★ |
|
2023-10-31 20:56:15 | Arid Viper déguiser les logiciels espions mobiles comme mises à jour pour les applications Android non malveillantes Arid Viper Disguising Mobile Spyware as Updates for Non-Malicious Android Applications (lien direct) |
#### Description
Depuis avril 2022, Cisco Talos suit une campagne malveillante exploitée par le groupe de menace persistante (APT) de vipère avancée (APT), de menace persistante avancée (APT), ciblant les utilisateurs Android arabes.Dans cette campagne, les acteurs exploitent des logiciels malveillants mobiles personnalisés, également appelés fichiers de packages Android (APK), pour collecter des informations sensibles à partir de cibles et déployer des logiciels malveillants supplémentaires sur des appareils infectés.
Le logiciel malveillant mobile utilisé dans cette campagne partage des similitudes avec une application de rencontres en ligne non malveillante, appelée sautée.Le malware utilise spécifiquement un nom similaire et le même projet partagé sur la plate-forme de développement Applications \\ '.Ce chevauchement suggère que les opérateurs de vipères arides sont liés au développeur de \\ sauté ou en quelque sorte acquis un accès illicite à la base de données du projet partagé.L'analyse de Cisco \\ a découvert un éventail d'applications de rencontres simulées liées aux sauts, nous amenant à évaluer que les opérateurs Arid Viper peuvent chercher à tirer parti de ces applications supplémentaires dans de futures campagnes malveillantes.Afin de contraindre les utilisateurs à télécharger leurs logiciels malveillants mobiles, les opérateurs Arid Viper partagent des liens malveillants se faisant passer pour des mises à jour des applications de rencontres, qui fournissent plutôt des logiciels malveillants à l'appareil de l'utilisateur \\.
Android malware d'Arid Viper \\ a un certain nombre de fonctionnalités qui permettent aux opérateurs de désactiver les notifications de sécurité, de collecter des informations sensibles aux utilisateurs et de déployer des applications malveillantes supplémentaires sur l'appareil compromis.
#### URL de référence (s)
1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/
#### Date de publication
31 octobre 2023
#### Auteurs)
Cisco Talos
#### Description Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected devices. The mobile malware used in this campaign shares similarities with a non-malicious online dating application, referred to as Skipped. The malware specifically uses a similar name and the same shared project on the applications\' development platform. This overlap suggests the Arid Viper operators are either linked to Skipped\'s developer or somehow gained illicit access to the shared project\'s database. Cisco\'s analysis uncovered an array of simulated dating applications that are linked to Skipped, leading us to assess that Arid Viper operators may seek to leverage these additional applications in future malicious campaigns. In order to coerce users into downloading their mobile malware, Arid Viper operators share malicious links masquerading as updates to the dating applications, that instead deliver malware to the user\'s device. Arid Viper\'s Android malware has a number of features that enable the operators to disable security notifications, collect users\' sensitive information, and deploy additional malicious applications on the compromised device. #### Reference URL(s) 1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/ #### Publication Date October 31, 2023 #### Author(s) Cisco Talos |
Malware Threat | APT-C-23 APT-C-23 | ★★★ |
 |
2023-10-31 19:46:00 | Arid Viper ciblant les utilisateurs d'Android arabe avec des logiciels espions déguisés en application de rencontres Arid Viper Targeting Arabic Android Users with Spyware Disguised as Dating App (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper (AKA APT-C-23, Desert Falcon ou TAG-63) a été attribué comme derrière une campagne de logiciels spymétrique Android ciblant les utilisateurs arabophones avec une application de datation contrefaite conçue pour récolter les données des combinets infectés.
"Arid Viper \'s Android Malware possède un certain nombre de fonctionnalités qui permettent aux opérateurs de collecter subrepticement des informations sensibles auprès des victimes \\ '
The threat actor known as Arid Viper (aka APT-C-23, Desert Falcon, or TAG-63) has been attributed as behind an Android spyware campaign targeting Arabic-speaking users with a counterfeit dating app designed to harvest data from infected handsets. "Arid Viper\'s Android malware has a number of features that enable the operators to surreptitiously collect sensitive information from victims\' devices |
Malware Threat | APT-C-23 APT-C-23 | ★★ |
 |
2023-10-31 17:44:00 | Arid Viper Camouflages Maleware dans l'application de datation à imitation Arid Viper Camouflages Malware in Knockoff Dating App (lien direct) |
Le groupe APT utilise les mises à jour de l'application pour amener l'utilisateur à télécharger le malware.
The APT group uses updates from the app to get the user to download the malware. |
Malware | APT-C-23 | ★★★ |
 |
2023-10-31 17:00:00 | La campagne Arid Viper cible les utilisateurs arabophones Arid Viper Campaign Targets Arabic-Speaking Users (lien direct) |
Cisco Talos a déclaré que le groupe a déployé des logiciels malveillants Android mobiles personnalisés au format APK
Cisco Talos said the group deployed customized mobile Android malware in the APK format |
Malware | APT-C-23 | ★★ |
 |
2023-10-26 23:08:55 | Aridviper: dévoiler le cyber-espionnage lié au Hamas au milieu d'attaques récentes en Israël AridViper: Unveiling Hamas-Linked Cyber Espionage Amidst Recent Attacks in Israel (lien direct) |
Aridviper se lève en tant que cyber-menace majeure au milieu des opérations récentes du Hamas le 7 octobre 2023, Hamas, l'organisation politico-militaire palestinienne, orchestrée a militaire et [plus ...]
AridViper Steps Up as a Major Cyber Threat Amidst Hamas’s Recent Operations On October 7, 2023, Hamas, the Palestinian politico-military organization, orchestrated a military and [more...] |
Threat | APT-C-23 | ★★ |
 |
2023-10-26 07:38:56 | Aridviper, un ensemble d'intrusion prétendument associé au Hamas AridViper, an intrusion set allegedly associated with Hamas (lien direct) |
> Compte tenu des événements récents impliquant l'organisation politico-militaire palestinienne Hamas, qui a mené le 7 octobre 2023, une opération militaire et terroriste en Israël, Sekoia.io, a regardé plus profondément Aridviper, un ensemble d'intrusion soupçonné d'être associé au Hamas.
la publication Suivante aridviper, un ensemble d'intrusion prétendumentAssocié au Hamas est un article de blog Sekoia.io .
>Given the recent events involving the Palestinian politico-military organisation Hamas which conducted on 7 October 2023 a military and terrorist operation in Israel, Sekoia.io took a deeper look into AridViper, an intrusion set suspected to be associated with Hamas. La publication suivante AridViper, an intrusion set allegedly associated with Hamas est un article de Sekoia.io Blog. |
APT-C-23 | ★★ | |
 |
2023-04-11 19:00:00 | Anomali Cyber Watch: Backdoors de mante agressive cibler la Palestine, fauxPackages fissurés inondé NPM, Rorschach Ransomware est nettement plus rapide que Lockbit v.3 Anomali Cyber Watch: Aggressively-Mutating Mantis Backdoors Target Palestine, Fake Cracked Packages Flood NPM, Rorschach Ransomware Is Significantly Faster Than LockBit v.3 (lien direct) |
Les différentes histoires de l'intelligence des menaces dans cette itération de l'anomali cyber watch discutent des sujets suivants: apt, crypto-monnaie, fuite de données, malvertising, packers, palestine, phishing, ransomware, et logicielchaîne d'approvisionnement .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
cryptoclippie parle portugais
(Publié: 5 avril 2023)
Depuis au moins au début de 2022, une campagne de clipper de crypto-monnaie opportuniste cible des conférenciers portugais en invitant un téléchargement à partir d'un site Web contrôlé par l'acteur promu via un empoisonnement SEO et malvertiser abusant Google Ads.Le fichier imite WhatsApp Web et fournit des cryptoclippages doublés de logiciels malveillants dans le but de remplacer les adresses de crypto-monnaie dans le presse-papiers Target & Acirc; & euro; & Trade.Les deux premiers fichiers de la chaîne d'infection sont EXE et BAT ou ZIP et LNK.Les acteurs utilisent des techniques d'obscurcissement et de cryptage étendues (RC4 et XOR), la compensation des journaux et des fichiers, et un profilage approfondi des utilisateurs pour un ciblage étroit et une évasion de défense.L'utilisation du type d'obscuscation invoqué-obfuscation peut indiquer un attaquant brésilien.
Commentaire de l'analyste: Les portefeuilles contrôlés par l'acteur observés ont gagné un peu plus de 1 000 dollars américains, mais leurs logiciels malveillants complexes à plusieurs étages peuvent les aider à étendre ces dégâts.Il est conseillé aux utilisateurs de vérifier les informations du destinataire avant d'envoyer une transaction financière.Des indicateurs liés à la cryptoclippie sont disponibles dans la plate-forme Anomali.Les organisations qui publient des applications pour leurs clients sont invitées à utiliser une protection contre les risques numériques anomalie premium pour découvrir des applications malveillantes et malveillantes imitant votre marque que les équipes de sécurité ne recherchent généralement ni ne surveillent.
mitre att & amp; ck: [mitre att & amp; ck] t1204 - exécution de l'utilisateur | [mitre att & amp; ck] t1027 - fichiers obscurcissantsOu des informations | [mitre att & amp; ck] t1059.001: powershell | [mitre att & amp; ck] t1105 - transfert d'outils d'entrée | [mitre att & amp; ck] t1140 - déobfuscate / décode les fichiers ou informations | [mitre att & amp; ck] t1620 - chargement de code réfléchissant | [mitreAtt & amp; ck] T1547.001 - Exécution de démarrage ou de connexion Autostart: Registry Run Keys / Startup Folder | [mitre att & amp; ck] t1112: modifier le registre | [mitre att & amp; ck] t1136.001 - Crée |
Ransomware Malware Tool Threat | APT-C-23 | ★★ |
 |
2023-04-04 16:06:23 | Arid Viper utilisant des logiciels malveillants améliorés dans les cyberattaques du Moyen-Orient Arid Viper Using Upgraded Malware In Middle East Cyberattacks (lien direct) |
Depuis septembre 2022, les entités palestiniennes sont ciblées par Arid Viper, un acteur de menace observé à l'aide de versions mises à jour de sa boîte à outils malware.Selon Symantec, qui surveille le groupe sous le nom de Mantis, l'adversaire prend des mesures importantes pour maintenir une présence continue sur les réseaux qu'elle cible.Kaspersky, dans un rapport publié en février 2015, [& # 8230;]
Since September 2022, Palestinian entities have been targeted by Arid Viper, a threat actor observed using updated versions of its malware toolkit. According to Symantec, which monitors the group under the name Mantis, the adversary is taking significant measures to sustain a continual presence on the networks it targets. Kaspersky, in a report published in February 2015, […] |
Malware Threat | APT-C-23 | ★★ |
|
2023-04-04 15:38:00 | Groupe de piratage aride vipère utilisant des logiciels malveillants améliorés dans les cyberattaques du Moyen-Orient Arid Viper Hacking Group Using Upgraded Malware in Middle East Cyber Attacks (lien direct) |
L'acteur de menace connu sous le nom de vipère aride a été observé à l'aide de variantes actualisées de sa boîte à outils malware dans ses attaques ciblant les entités palestiniennes depuis septembre 2022.
Symantec, qui suit le groupe sous son surnom Mantis sur le thème des insectes, a déclaré que l'adversaire "va à de grandes longueurs pour maintenir une présence persistante sur les réseaux ciblés".
Également connu sous les noms apt-c-23 et désert
The threat actor known as Arid Viper has been observed using refreshed variants of its malware toolkit in its attacks targeting Palestinian entities since September 2022. Symantec, which is tracking the group under its insect-themed moniker Mantis, said the adversary is "going to great lengths to maintain a persistent presence on targeted networks." Also known by the names APT-C-23 and Desert |
Malware Threat | APT-C-23 | ★★ |
 |
2023-04-04 13:53:00 | Groupe APT ciblant les organisations dans les territoires palestiniens, disent les chercheurs APT group targeting organizations in Palestinian territories, researchers say (lien direct) |
Un groupe soutenu par l'État qui opérerait à partir des territoires palestiniens ciblait des organisations locales dans une campagne qui a commencé en septembre 2022 et a duré au moins en février 2023. Les chercheurs de Symantec ont suivi un groupe de cyber-espionnage qu'ils appellent«Mantis» mais est également appelé «vipère aride».Le groupe a été actif
A state-backed group believed to be operating out of the Palestinian territories targeted local organizations in a campaign that began in September 2022 and lasted until at least February 2023. Researchers from Symantec have been tracking a cyber-espionage group they call “Mantis” but is also referred to as “Arid Viper.” The group has been active |
APT-C-23 | ★★★★ | |
|
2022-04-12 19:06:00 | Anomali Cyber Watch: Zyxel Patches Critical Firewall Bypass Vulnerability, Spring4Shell (CVE-2022-22965), The Caddywiper Malware Attacking Ukraine and More (lien direct) | The various threat intelligence stories in this iteration of the Anomali Cyber Watch discuss the following topics: Caddywiper, Colibri Loader, Gamaredon, SaintBear, SolarMaker and Spring4Shell. The IOCs related to these stories are attached to Anomali Cyber Watch and can be used to check your logs for potential malicious activity.
Figure 1 - IOC Summary Charts. These charts summarize the IOCs attached to this magazine and provide a glimpse of the threats discussed.
Trending Cyber News and Threat Intelligence
New SolarMaker (Jupyter) Campaign Demonstrates the Malware’s Changing Attack Patterns
(published: April 8, 2022)
Palo Alto Researchers have released their technical analysis of a new version of SolarMaker malware. Prevalent since September 2020, SolarMaker’s initial infection vector is SEO poisoning; creating malicious websites with popular keywords to increase their ranking in search engines. Once clicked on, an encrypted Powershell script is automatically downloaded. When executed, the malware is installed. SolarMaker’s main functionality is the theft of web browser information such as stored passwords, auto-fill data, and saved credit card information. All the data is sent back to an encoded C2 server encrypted with AES. New features discovered by this technical analysis include increased dropper file size, droppers are always signed with legitimate certificates, a switch back to executables instead of MSI files. Furthermore, the backdoor is now loaded into the dropper process instead of the Powershell process upon first time execution.
Analyst Comment: Never click on suspicious links, always inspect the url for any anomalies. Untrusted executables should never be executed, nor privileges assigned to them. Monitor network traffic to assist in the discovery of non standard outbound connections which may indicate c2 activity.
MITRE ATT&CK: [MITRE ATT&CK] Data Obfuscation - T1001 | [MITRE ATT&CK] Encrypted Channel - T1573 | [MITRE ATT&CK] Exfiltration Over C2 Channel - T1041 | [MITRE ATT&CK] Obfuscated Files or Information - T1027 | [MITRE ATT&CK] Virtualization/Sandbox Evasion - T1497
Tags: SolarMaker, Jupyter, Powershell, AES, C2, SEO poisoning
Google is on Guard: Sharks shall not Pass!
(published: April 7, 2022)
Check Point researchers have discovered a series of malicious apps on the Google Play store that infect users with the info stealer Sharkbot whilst masquerading as AV products. The primary functionality of Sharkbot is to steal user credentials and banking details which the user is asked to provide upon launching the app. Furthermore, Sharkbot asks the user to permit it a wide array of permissions that grant the malware a variety of functions such as reading and sending SMS messages and uninstalling other applications. Additionally, the malware is able to evade detection through various techniques. Sharkbot is geofenced, therefore it will stop functioning if it detects the user is from Belarus, China, India, Romania, Russia or Ukraine. Interestingly for Android malware, Sharkbot also utilizes domain generation algorithm (DGA). This allows the malware to dynamically generate C2 domains to help the malware function after a period of time even i |
Malware Tool Vulnerability Threat Patching | APT-C-23 | |
 |
2022-04-08 07:16:58 | Hamas-linked threat actors target high-profile Israeli individuals (lien direct) | Hamas-linked threat actors conducted an elaborate campaign aimed at high-profile Israeli individuals employed in sensitive sectors. Researchers from Cybereason observed a sophisticated cyberespionage campaign conducted by APT-C-23 group campaigns targeting Israeli high-profile targets working for sensitive defense, law enforcement, and emergency services organizations. The threat actors use sophisticated social engineering techniques to infect Windows and Android […] | Threat | APT-C-23 | |
 |
2022-04-07 04:00:02 | Israeli officials are being catfished by AridViper hackers (lien direct) | APT-C-23 is targeting high-ranking individuals in defense, law, and emergency services. | APT-C-23 | ||
 |
2022-04-06 18:00:17 | Operation Bearded Barbie: APT-C-23 Campaign Targeting Israeli Officials (lien direct) |
Over the last several years, the Cybereason Nocturnus Team has been tracking different APT groups operating in the Middle East region, including two main sub-groups of the Hamas cyberwarfare division: Molerats and APT-C-23. Both groups are Arabic-speaking and politically-motivated that operate on behalf of Hamas, the Palestinian Islamic-fundamentalist movement and a terrorist organization that has controlled the Gaza strip since 2006. |
APT-C-23 | ||
|
2022-02-03 00:14:56 | New Wave of Cyber Attacks Target Palestine with Political Bait and Malware (lien direct) | Cybersecurity researchers have turned the spotlight on a new wave of offensive cyberattacks targeting Palestinian activists and entities starting around October 2021 using politically-themed phishing emails and decoy documents. The intrusions are part of what Cisco Talos calls a longstanding espionage and information theft campaign undertaken by the Arid Viper hacking group using a Delphi-based | Malware | APT-C-23 | |
|
2022-02-02 13:00:01 | Arid Viper hackers strike Palestine with political lures - and Trojans (lien direct) | The threat group is suspected of being located in Gaza. | Threat | APT-C-23 | |
 |
2022-02-02 05:04:10 | Arid Viper APT targets Palestine with new wave of politically themed phishing attacks, malware (lien direct) | By Asheer Malhotra and Vitor Ventura. Cisco Talos has observed a new wave of Delphi malware called Micropsia developed and operated by the Arid Viper APT group since 2017.This campaign targets Palestinian entities and activists using politically themed lures.The latest iteration of the implant... [[ This is only the beginning! Please visit the blog for the complete entry ]] | Malware | APT-C-23 | |
 |
2020-12-16 19:28:07 | Mapping out AridViper Infrastructure Using Augury\'s Malware Module (lien direct) | Twitter user @BaoshengbinCumt posted malware hash faff57734fe08af63e90c0492b4a9a56 on 27 November 2020, which they attributed to AridViper (APT-C-23 / GnatSpy)[i]. This user is a researcher for Qihoo and has previously reported on the activities of AridViper. AridViper, also known as APT-C-23 and GnatSpy, are a group active within the Middle Eastern region, known in [...] | Malware | APT-C-23 | |
 |
2020-09-30 15:46:02 | Un nouveau logiciel espion Android du groupe APT-C-23 déguisé en Threema et Telegram découvert par ESET (lien direct) | Les chercheurs d'ESET ont analysé une nouvelle version du logiciel espion Android utilisé par APT-C-23, un groupe de pirates actif depuis au moins 2017 qui cible principalement le Moyen-Orient. Le nouveau logiciel espion, détecté par les produits de sécurité ESET sous le nom d'Android/SpyC23.A, s'appuie sur des versions précédemment signalées et comporte des fonctionnalités d'espionnage étendues, de nouvelles fonctions de furtivité, et un mécanisme de communications de commande et de contrôle (C&C) (...) - Malwares | APT-C-23 | ||
 |
2020-09-30 09:30:42 | APT‑C‑23 group evolves its Android spyware (lien direct) | ESET researchers uncover a new version of Android spyware used by the APT-C-23 threat group against targets in the Middle East | Threat | APT-C-23 | |
 |
2020-02-18 10:26:49 | (Déjà vu) Israeli soldiers catfished by hacking group (lien direct) | A hacking group compromised mobile phones belonging to soldiers in the Israel Defence Forces (IDF) using pics of young girls and directing them to download malware disguised as chat apps. Behind this endeavour is an actor identified as APT-C-23, known for cyberattacks in the Middle East and associated with the Hamas militant group. Source: Bleeping […] | Malware | APT-C-23 | |
 |
2020-01-15 14:00:00 | Alien Labs 2019 Analysis of Threat Groups Molerats and APT-C-37 (lien direct) |
In 2019, several industry analyst reports confused the threat groups Molerats and APT-C-37 due to their similarity, and this has led to some confusion and inaccuracy of attribution.
For example, both groups target the Middle East and North Africa region (with a special emphasis on Palestine territories). And, they both approach victims through the use of phishing emails that contain decoy documents (mostly in Arabic) and contain themes concerning the political situation in the area.
To improve understanding of the differences and similarities of the two groups (as well as the links between them), we at Alien Labs™ are providing an analysis of their 2019 activity.
A recent spear-phishing document from Molerats
APT-C-37 Overview
APT-C-37, also known as Pat-Bear or the Syrian Electronic Army (SEA), was first seen in October 2015 targeting members of a terrorist organization. Since 2015, however, APT-C-37 has broadened their objectives to include government agencies, armed forces leadership, media organizations, political activists, and diplomats. The group mostly targets victims in Western countries, with the intent of defacing their websites and social accounts while leaving a public footprint after hacking one of their victims.
In previous attacks, APT-C-37 targeted Windows and Android systems, utilizing popular commercial remote access trojans (RATs) such as DroidJack, SpyNote, njRAT, SSLove, and H-Worm.
Technical Analysis: APT-C-37 2019
June 2019: APT-C-37 released an Android app named after the instant messaging software “WhatsApp” as an espionage tool to reportedly spy on the Syrian opposition forces. The app was capable of installing the SSLove RAT to pull private information from the phone and exfiltrating it to a remote location.
Molerats Overview
Molerats has been present in the cybercriminal landscape since 2012. In an analysis released by the Kaspersky’s GReAT (Global Research & Analysis Team) earlier this year on the Gaza Hacker Team and their various subgroups, Kaspersky concluded that Molerats is Gaza Cybergang “Group1.” The report also concluded that Molerats (i.e. Cybergang Group 1) operates with a lower level of sophistication than other groups within the Gaza Hacker Team. In addition, a 2016 article in Security Week reported that one of Molerats campaigns (October 2016) heavily used popular RATs like NjRat and H-Worm (aka Houdini).
Technical Analysis: Molerats 2019
October 2019: In Molerats’ October operation, the attack was distributed as a phishing campaign in the Middle East. Emails included a Microsoft Word file attachment with the title “Daily report on the most important Palestinian developments for the day 9-9-2019.doc” — content that spoke to the political situation in Palestine. When a victim opened the attachment, the malware performed the following:
Displayed the Microsoft Word doc |
Malware Tool Threat Guideline | APT-C-23 | |
 |
2017-12-18 13:00:48 | New GnatSpy Mobile Malware Family Discovered (lien direct) | Earlier this year researchers first disclosed a targeted attack campaign targeting various sectors in the Middle East. This threat actor was called Two-tailed Scorpion/APT-C-23. Later on, a mobile component called VAMP was found, with a new variant (dubbed FrozenCell) discovered in October. Post from: Trendlabs Security Intelligence Blog - by Trend Micro New GnatSpy Mobile Malware Family Discovered | APT-C-23 |
1
We have: 26 articles.
We have: 26 articles.
To see everything:
Our RSS (filtrered)
