Proofpoint mette in luce il Gruppo TA402, alias Molerats, attore di minacce che opera a supporto della causa palestinese
La campagna in breve
- TA402, probabile attore di minaccia persistente avanzata allineato alla Palestina, si è recentemente impegnato in campagne che sfruttano un nuovo strumento, definito dagli analisti di Proofpoint, NimbleMamba.
- NimbleMamba è probabilmente una sostituzione dell’impianto LastConn precedentemente utilizzato dal gruppo.
- Queste campagne hanno una complessa catena di attacco che sfrutta il geofencing e i reindirizzamenti URL a siti legittimi per aggirare il rilevamento.
Panoramica
A fine 2021, gli analisti di Proofpoint hanno identificato una complessa catena di attacchi rivolta verso governi del Medio Oriente, think tank di politica estera e una compagnia aerea nazionale, osservando in tre mesi tre leggere variazioni. Proofpoint attribuisce queste campagne a TA402, un attore comunemente identificato come Molerats, che si ritiene operi nell’interesse dei territori palestinesi. Sulla base della ricerca, TA402 rappresenta una minaccia costante per le organizzazioni e i governi del Medio Oriente, in grado di aggiornare regolarmente non solo gli impianti malware, ma anche i metodi di consegna. Dopo la pubblicazione di una ricerca di Proofpoint nel giugno 2021, TA402 sembrava aver interrotto le sue attività per un breve periodo, quasi certamente per riorganizzarsi. I ricercatori di Proofpoint ritengono abbia investito quel tempo per aggiornare impianti e meccanismi di consegna, utilizzando nuove forme di malware denominate NimbleMamba e BrittleBush. TA402 utilizza regolarmente anche tecniche di geofencing e catene di attacco differenti che complicano gli sforzi di rilevamento per i difensori.
