Une campagne d’espionnage active a été attribuée à l’acteur menaçant connu sous le nom de Molerats qui abuse des services cloud légitimes comme Google Drive et Dropbox pour héberger des charges utiles de logiciels malveillants et pour le commandement et le contrôle et l’exfiltration de données à partir de cibles à travers le Moyen-Orient.
La cyberoffensive serait en cours depuis au moins juillet 2021, selon à la société de sécurité de l’information basée sur le cloud Zscaler, poursuivant les efforts antérieurs du groupe de piratage pour effectuer une reconnaissance sur les hôtes cibles et piller les informations sensibles.
Molérats, également suivi sous le nom de TA402, Gaza Hackers Team et Extreme Jackal, est un groupe de menaces persistantes avancées (APT) qui se concentre principalement sur les entités opérant au Moyen-Orient. L’activité d’attaque associée à l’acteur a exploité des thèmes géopolitiques et militaires pour inciter les utilisateurs à ouvrir les pièces jointes Microsoft Office et à cliquer sur des liens malveillants.
La dernière campagne détaillée par Zscaler n’est pas différente en ce sens qu’elle utilise des thèmes leurres liés aux conflits en cours entre Israël et la Palestine pour fournir une porte dérobée .NET sur les systèmes infectés qui, à son tour, abuse de l’API Dropbox pour établir des communications avec un adversaire. serveur contrôlé et transmettre des données.
L’implant, qui utilise des codes de commande spécifiques pour réquisitionner la machine compromise, prend en charge les capacités de prendre des instantanés, de répertorier et de télécharger des fichiers dans les répertoires pertinents et d’exécuter des commandes arbitraires. En enquêtant sur l’infrastructure d’attaque, les chercheurs ont déclaré avoir trouvé au moins cinq comptes Dropbox utilisés à cette fin.
« Les cibles de cette campagne ont été choisies spécifiquement par l’acteur de la menace et elles comprenaient des membres critiques du secteur bancaire en Palestine, des personnes liées aux partis politiques palestiniens, ainsi que des militants des droits de l’homme et des journalistes en Turquie », ont déclaré Sahil Antil et Sudeep, chercheurs de Zscaler ThreatLabz. dit Singh.
