Ein Bedrohungsakteur mit Verbindungen zur Cyberwar-Abteilung der Hamas wurde mit einer „ausgeklügelten Kampagne“ in Verbindung gebracht, die es auf hochrangige israelische Personen abgesehen hatte, die in sensiblen Organisationen in den Bereichen Verteidigung, Strafverfolgung und Notfalldienste tätig sind.
„Die Betreiber der Kampagne nutzen ausgefeilte Social-Engineering-Techniken, die letztlich darauf abzielen, bisher nicht dokumentierte Hintertüren für Windows- und Android-Geräte einzubauen“, so das Cybersicherheitsunternehmen Cybereason in einem Bericht vom Mittwoch.
„Das Ziel des Angriffs war es, sensible Informationen von den Geräten der Opfer zu Spionagezwecken zu erhalten.
Die monatelangen Angriffe mit dem Codenamen „Operation Bearded Barbie“ werden einer arabischsprachigen und politisch motivierten Gruppe namens Arid Viper zugeschrieben, die vom Nahen Osten aus operiert und auch unter den Namen APT-C-23 und Desert Falcon bekannt ist.
Zuletzt wurde der Bedrohungsakteur für Angriffe auf palästinensische Aktivisten und Organisationen verantwortlich gemacht, die im Oktober 2021 mit politisch motivierten Phishing-E-Mails und gefälschten Dokumenten begannen.
Die jüngsten Angriffe konzentrieren sich darauf, Informationen von Computern und Mobilgeräten israelischer Bürgerinnen und Bürger zu erbeuten, indem sie sie dazu verleiten, trojanisierte Messaging-Apps herunterzuladen, die den Akteuren ungehinderten Zugang gewähren.
Bei den Social-Engineering-Angriffen wurden gefälschte Facebook-Profile von attraktiven jungen Frauen angelegt, um das Vertrauen der Zielpersonen zu gewinnen und sich mit ihnen auf der Plattform anzufreunden, wobei die Taktik des Catfishing angewandt wurde.
„Nachdem er das Vertrauen des Opfers gewonnen hat, schlägt der Betreiber des gefälschten Kontos vor, die Konversation von Facebook zu WhatsApp zu verlagern“, so die Forscher weiter. „Auf diese Weise kommt der Betreiber schnell an die Handynummer der Zielperson.
Sobald der Chat von Facebook zu WhatsApp wechselt, schlagen die Angreifer den Opfern vor, eine sichere Messaging-App für Android (mit dem Namen „VolatileVenom“) zu installieren und eine RAR-Archivdatei zu öffnen, die explizite sexuelle Inhalte enthält und zum Einsatz eines Malware-Downloaders namens Barb(ie) führt.
Zu den weiteren Merkmalen der Kampagne gehört, dass die Gruppe ein erweitertes Arsenal an Malware-Tools einsetzt, darunter die BarbWire Backdoor, die durch das Downloader-Modul installiert wird.
Die Malware dient als Werkzeug, um den Computer des Opfers vollständig zu kompromittieren, so dass er bestehen bleibt, gespeicherte Informationen abgreift, Audiodaten aufzeichnet, Screenshots aufnimmt und zusätzliche Nutzdaten herunterlädt, die alle an einen entfernten Server übertragen werden.
VolatileVenom hingegen ist eine Android-Spyware, die dafür bekannt ist, legitime Messaging-Apps zu fälschen und sich als System-Updates auszugeben, und die seit mindestens 2017 in verschiedenen Kampagnen von Arid Viper eingesetzt wird.
Ein Beispiel für eine betrügerische Android-App ist „Wink Chat“, bei der Opfer, die versuchen, sich für die Anwendung anzumelden, eine Fehlermeldung erhalten, dass „sie deinstalliert wird“, nur um dann heimlich im Hintergrund zu laufen und eine Vielzahl von Daten von den mobilen Geräten zu extrahieren.
„Die Angreifer nutzen eine völlig neue Infrastruktur, die sich von der bekannten Infrastruktur unterscheidet, mit der Palästinenser und andere Arabisch sprechende Menschen angegriffen werden“, so die Forscher.
„Diese Kampagne zeigt eine erhebliche Steigerung der Fähigkeiten von APT-C-23, mit einer verbesserten Tarnung, ausgefeilterer Malware und einer Perfektionierung ihrer Social-Engineering-Techniken, die offensive HUMINT-Fähigkeiten unter Verwendung eines sehr aktiven und gut gepflegten Netzwerks von gefälschten Facebook-Konten beinhalten, die sich für die Gruppe als sehr effektiv erwiesen haben.“