Eine APT-Hackergruppe (Advanced Persistent Threat), deren Motive wahrscheinlich mit Palästina übereinstimmen, hat eine neue Kampagne gestartet, die ein bisher undokumentiertes Implantat namens NimbleMamba nutzt.
Die Eindringlinge nutzten eine ausgeklügelte Angriffskette, die auf Regierungen des Nahen Ostens, außenpolitische Denkfabriken und eine staatliche Fluggesellschaft abzielte, so die Unternehmenssicherheitsfirma Proofpoint in einem Bericht, der die verdeckte Operation einem Bedrohungsakteur mit dem Namen Molerats (alias TA402) zuschreibt.
Die APT-Gruppe, die dafür bekannt ist, ihre Malware-Implantate und ihre Verbreitungsmethoden ständig zu aktualisieren, wurde zuletzt mit einer Spionageoffensive in Verbindung gebracht, die auf Menschenrechtsaktivisten und Journalisten in Palästina und der Türkei abzielte, während ein früherer Angriff, der im Juni 2021 aufgedeckt wurde, zur Verbreitung einer Backdoor namens LastConn führte.
Dies führte zur Entwicklung von NimbleMamba, das LastConn ablösen soll, bei dem es sich vermutlich um eine verbesserte Version einer anderen Backdoor namens SharpStage handelt, die von derselben Gruppe im Rahmen ihrer Kampagnen im Dezember 2020 eingesetzt wurde.
„NimbleMamba verwendet Leitplanken, um sicherzustellen, dass sich alle infizierten Opfer in der Zielregion von TA402 befinden“, so die Forscher und fügten hinzu, dass die Malware „die Dropbox-API sowohl für die Steuerung als auch für die Exfiltration nutzt“, was auf einen Einsatz in „sehr gezielten Informationsbeschaffungskampagnen“ schließen lässt.
Außerdem wird ein Trojaner namens BrittleBush übertragen, der die Kommunikation mit einem entfernten Server aufnimmt, um Base64-kodierte Befehle abzurufen, die auf den infizierten Rechnern ausgeführt werden. Außerdem sollen die Angriffe zeitgleich mit den bereits erwähnten bösartigen Aktivitäten gegen Palästina und die Türkei erfolgt sein.
Die Infektionssequenz spiegelt genau die gleiche Technik wider, mit der die Angreifer ihre Ziele kompromittieren. Die Spear-Phishing-E-Mails, die als Ausgangspunkt dienen, enthalten geofenced Links, die zu Malware-Nutzlasten führen – aber nur, wenn sich der Empfänger in einer der Zielregionen befindet. Wenn die Zielpersonen außerhalb des Angriffsradius leben, leiten die Links den Nutzer auf eine harmlose Nachrichtenwebsite wie Emarat Al Youm um.
Bei neueren Varianten der Kampagne im Dezember 2021 und Januar 2022 wurden jedoch Dropbox-URLs und von Angreifern kontrollierte WordPress-Seiten verwendet, um bösartige RAR-Dateien mit NimbleMamba und BrittleBush zu versenden.
Diese Entwicklung ist das jüngste Beispiel dafür, dass Angreifer Cloud-Dienste wie Dropbox für ihre Angriffe nutzen, und zeigt, wie schnell ausgeklügelte Akteure auf die Veröffentlichung ihrer Angriffsmethoden reagieren können, um etwas Starkes und Effektives zu schaffen, das die Sicherheits- und Erkennungsschichten umgehen kann.
„TA402 ist nach wie vor ein effektiver Bedrohungsakteur, der mit seinen gezielten Kampagnen, die sich auf den Nahen Osten konzentrieren, seine Ausdauer unter Beweis stellt“, so das Fazit der Forscher. „Die [zwei] Kampagnen zeigen, dass die Molerats weiterhin in der Lage sind, ihre Angriffskette auf der Grundlage ihrer nachrichtendienstlichen Ziele zu verändern“.