L’acteur menaçant connu sous le nom d’Arid Viper a été observé en train d’utiliser des variantes actualisées de sa boîte à outils de logiciels malveillants dans ses attaques ciblant des entités palestiniennes depuis septembre 2022.

Symantec, qui suit le groupe sous son surnom Mantis sur le thème des insectes, a déclaré que l’adversaire « fait de grands efforts pour maintenir une présence persistante sur les réseaux ciblés ».

Aussi connu sous les noms APT-C-23 et Desert Falcon, le groupe de piratage est lié à des attaques visant la Palestine et le Moyen-Orient au moins depuis 2014.

Mantis a utilisé un arsenal d’outils malveillants maison tels que ViperRat, FrozenCell (alias VolatileVenom) et Micropsia pour exécuter et dissimuler ses campagnes sur les plateformes Windows, Android et iOS.

Selon un rapport publié par Kaspersky en février 2015, les acteurs de la menace seraient de langue maternelle arabe et basés en Palestine, en Égypte et en Turquie. Des rapports publics antérieurs ont également lié le groupe à la division cyber-guerre du Hamas.

En avril 2022, des individus israéliens de haut niveau employés dans des organisations sensibles de défense, d’application de la loi et de services d’urgence ont été observés ciblés par une nouvelle porte dérobée Windows baptisée BarbWire.

Les séquences d’attaque montées par le groupe utilisent généralement des e-mails de harponnage et de fausses informations d’identification sociales pour inciter les cibles à installer des logiciels malveillants sur leurs appareils.

Les attaques les plus récentes détaillées par Symantec impliquent l’utilisation de versions mises à jour de ses implants personnalisés Micropsia et Arid Gopher pour violer des cibles avant de se livrer au vol d’informations d’identification et à l’exfiltration de données volées.

Arid Gopher, un exécutable codé dans le langage de programmation Go, est une variante du malware Micropsia qui a été documenté pour la première fois par Deep Instinct en mars 2022. Le passage à Go n’est pas inhabituel car il permet au malware de rester sous le radar.

Micropsia, en plus de sa capacité à lancer des charges utiles secondaires (comme Arid Gopher), est également conçu pour enregistrer les frappes au clavier, prendre des captures d’écran et enregistrer les fichiers Microsoft Office dans les archives RAR pour l’exfiltration à l’aide d’un outil basé sur Python sur mesure.

« Arid Gopher, comme son prédécesseur Micropsia, est un malware voleur d’informations, dont l’intention est de s’implanter, de collecter des informations système sensibles et de les renvoyer à un réseau C2 (commande et contrôle) », a déclaré Deep Instinct à le temps.

Les preuves recueillies par Symantec montrent que Mantis a décidé de déployer trois versions distinctes de Micropsia et Arid Gopher sur trois ensembles de postes de travail entre le 18 décembre 2022 et le 12 janvier 2023, afin de conserver l’accès.

Arid Gopher, pour sa part, a reçu des mises à jour régulières et des réécritures complètes de code, les attaquants « mutant agressivement la logique entre les variantes » comme mécanisme d’évasion de la détection.

« Mantis semble être un adversaire déterminé, prêt à consacrer du temps et des efforts pour maximiser ses chances de succès, comme en témoignent la réécriture extensive des logiciels malveillants et sa décision de compartimenter les attaques contre des organisations uniques en plusieurs volets distincts afin de réduire les chances que l’ensemble de l’opération soit détecté », a conclu Symantec.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *