Az APT-C-23 Izraelt támadja
Az APT-C-23 csoport (AridViper, Desert Falcon), melyet egyes kutatók a Hamászhoz kötnek, újabb kifinomult támadásával prominens izraeli vezetőket támad.
A támadás kiinduló eleme egy hamis Facebook profil, mely első ránézésre egy vonzó nőhöz tartozik (a profil lopott, vagy AI által generált képekkel operál), aki – a hihetőség kedvéért folyamatos interakcióban van más személyekkel és aktívan követi az ismert izraeli napilapok, politikusok, nagyobb szervezetek Facebook oldalait is. Ezen profilok első ránézésre egyedinek tűnnek, mivel a támadók nagy hangsúlyt fektettek az előkészítésre.
Az idő előrehaladtával a profilok segítségével a támadók kapcsolatot „ismeretséget” építettek ki magas rangú izraeli vezetőkkel a honvédelem, rendvédelem, vagy a kormány köreiből.
Miután sikeresen alakítottak ki kapcsolatot a célszeméllyel, megpróbálják átterelni a beszélgetést a WhatsApp alkalmazásra – így megszerezve az áldozat telefonszámát. Idővel a társalgás szexuális töltetet kap, és a támadók ismét javasolják, hogy váltásnak platformot – a magasabb biztonság érdekében. Az áldozat letölti a „VolatileVenom Malware-t”, mely az állítólagos biztonságos üzenetküldő alkalmazás, illetve a „Barb(ie) Downloader-t”, mely egy szexuális tartalmú videónak tűnik, valójában a BarbWire Backdoor payloadot tartalmazza.
A payload letöltését követően a támadók immár szinte teljes hozzáféréssel rendelkeznek az áldozat készülékéhez, lehetővé téve többek közt:
- adattitkosítás,
- billentyűzetfigyelés,
- képernyő mentés,
- hang rögzítése,
- további malware letöltése.
Az elemzők értékelése szerint fent vázolt támadás „közepes-magas bizonyossággal” a palesztin Hamászhoz köthető.
(forrás)