The return of TA402 Molerats APT after a short pause
2021/06/18 SecurityAffairs — TA402 APT グループ (別名:Molerats と Gaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。
Kaspersky は、Gaza Cybergang の傘下で活動するグループを、以下の3つに区別している。
・Gaza Group1 (低レベル) MoleRATsとも呼ばれる
・Gaza Group2 (中レベル) Desert Falcons とのつながる
・Gaza Group3 (高レベル) Operation Parliament という名前で活動していた
被害者の多くはイスラエルとパレスチナに在住しており、政府/通信/金融/軍事/大学/技術などの多用な業界に属している。このグループが最近に実施したスピアフィッシング・キャンペーンでは、悪意のリンクまたは PDF 添付ファイルを含む、アラビア語の電子メールが使用されていた。ルアーとしては、中東情勢やガザ紛争に関連する、地政学的なトピックが用いられる。攻撃者が使用したルアーのテーマとしては、A delegation from Hamas meets the Syrian regime (ハマス代表団がシリア政権と会談) や Hamas member list (ハマスのメンバーリスト) などがある。
このグループが仕掛けたバックドアにより、任意のコマンドの実行や、スクリーンショットのキャプチャなどが行われ、収集されたデータは Dropbox へ流出することになるそうです。研究者たちは、「TA402 は、非常に効果的で有能な脅威アクターであり、特に中東の政府や、同地域で活動している企業にとって、深刻な脅威であり続けている」と結論付けているようです。
IoT OT Security News 