Un groupe de piratage surnommé OilAlpha avec des liens présumés avec le Yémen Mouvement Houthi a été liée à une campagne de cyberespionnage ciblant des organisations de développement, humanitaires, médiatiques et non gouvernementales dans la péninsule arabique.
« OilAlpha a utilisé des messageries de chat cryptées comme WhatsApp pour lancer des attaques d’ingénierie sociale contre ses cibles », a déclaré la société de cybersécurité Recorded Future. a dit dans un rapport technique publié mardi.
« Il a également utilisé des raccourcisseurs de liens URL. Selon l’évaluation de la victimologie, il semble que la majorité des entités ciblées étaient des locuteurs de langue arabe et utilisaient des appareils Android. »
OilAlpha est le nouveau cryptonyme donné par Recorded Future à deux clusters qui se chevauchent précédemment suivis par la société sous les noms TAG-41 et TAG-62 depuis avril 2022. TAG-XX (abréviation de Threat Activity Group) est le surnom temporaire attribué à la menace émergente. groupes.
L’évaluation selon laquelle l’adversaire agit dans l’intérêt du mouvement Houthi est basée sur le fait que l’infrastructure utilisée dans les attaques est presque exclusivement associée à Public Telecommunication Corporation (PTC), un fournisseur de services de télécommunications yéménite. soumis au contrôle des Houthis.
Cela dit, l’utilisation persistante des actifs de PTC n’exclut pas la possibilité d’un compromis par un tiers inconnu. Recorded Future, cependant, a noté qu’il n’avait trouvé aucune preuve pour étayer ce raisonnement.
Un autre facteur est l’utilisation d’applications malveillantes basées sur Android pour surveiller probablement les délégués associés à Négociations dirigées par le gouvernement saoudien. Ces applications imitaient des entités liées au gouvernement saoudien et à une organisation humanitaire aux Émirats arabes unis
Les chaînes d’attaque commencent avec des cibles potentielles – représentants politiques, personnalités des médias et journalistes – recevant les fichiers APK directement à partir de comptes WhatsApp en utilisant des numéros de téléphone saoudiens en faisant passer les applications comme appartenant à UNICEFONG et autres organisations humanitaires.
Les applications, pour leur part, agissent comme un conduit pour déposer un cheval de Troie d’accès à distance appelé SpyNote (alias SpyMax) qui est livré avec une pléthore de fonctionnalités pour capturer des informations sensibles à partir d’appareils infectés.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
« L’accent mis par OilAlpha sur le ciblage des appareils Android n’est pas surprenant en raison de la forte saturation des appareils Android dans la région de la péninsule arabique », a déclaré Recorded Future.
La société de cybersécurité a déclaré avoir également observé des échantillons njRAT (alias Bladabindi) communiquant avec des serveurs de commande et de contrôle (C2) associés au groupe, indiquant qu’elle utilise simultanément des logiciels malveillants de bureau dans ses opérations.
« OilAlpha a lancé ses attaques à la demande d’une entité de parrainage, à savoir les Houthis du Yémen », a-t-il théorisé. « OilAlpha pourrait être directement affilié à son entité de parrainage, ou pourrait également fonctionner comme une partie contractante. »
« Bien que l’activité d’OilAlpha soit pro-Houthi, il n’y a pas suffisamment de preuves pour suggérer que des agents yéménites sont responsables de cette activité de menace. Des acteurs de menace externes comme le Hezbollah libanais ou irakien, ou même des opérateurs iraniens soutenant le CGRI, peuvent avoir mené cette activité de menace. »