כנופיית סייבר תומכת חמאס מפתחת טקטיקת הדבקה חדשה ומורכבת
This post is also available in: 
English (אנגלית)
גורם האיום הזה משתמש כעת בשרשרת הדבקת סייבר המבוססת על מוריד-גישה ראשוני חדשה בשם "IronWind", כפי שנצפה על ידי חוקרים בחברת אבטחת הסייבר Proofpoint.
מדווח כי הארגון "The Gaza Cybergang", הידוע גם בשמות TA402, Molerats, Frankenstein, או Write, התפתח בטקטיקות שלו נגד ישראל וגופים ממשלתיים אחרים במערב אסיה ובצפון אפריקה, ופועל כיום לטובת השטחים הפלסטיניים. כנופיית הסייבר השיגה לאחרונה את מוריד הגישה הראשוני "IronWind", המשמש להורדת קודים ייעודיים למערכות נגועות. הם גם עדכנו את שיטות ההדבקה שלהם והתחילו להשתמש בקבצים מסוג XLL ו-RAR בהתקפות הפישינג שלהם, במקום בקישורי ה-Dropbox בהם השתמשו בעבר.
חוקרי Proofpoint עוקבים אחר הקבוצה מאז 2020, ומדווחים כי שרשרת ההדבקה שלה מורכבת מאוד. מאז יולי 2023, הכנופייה השתמשה בווריאציות של קישורי Dropbox, קבצי XLL ו-RAR מצורפים כדי לגרום למשתמשים להוריד תוכנות זדוניות רב-תכליתיות.
עם זאת, למרות מלחמת ישראל-חמאס הנוכחית, חברת Proofpoint לא הבחינה בשינויים כלשהם בפעולות של קבוצת TA402 או ראתה סימנים כלשהם לכך שמטרותיה השתנו.
על פי אתר החדשות Cybernews, כנופיית TA402 היו מעורבים לאחרונה בקמפיין פישינג באמצעות חשבון דואר אלקטרוני חשוף של משרד החוץ בכדי להגיע לגופים ממשלתיים במערב אסיה. על פי הדיווחים, האימיילים השתמשו בפיתויי הנדסה חברתית בנושאים כלכליים וסיפקו קישורים/קבצים זדוניים המכילים פקודות מאקרו שהתקינו שלושה קבצים, כולל קבצי IronWind.
לאחר ההדבקה, קבצי IronWind מתחילים לתקשר עם שרת הבקרה והפיקוד המספק את הקוד הייעודי לשלב השלישי של ההדבקה, אשר לפי הניתוח של Proofpoint נראה כי שימש כ"טוען" רב תכליתי.
החוקרים הסבירו כי TA402 מקשה על הזיהוי שלה באמצעות טכניקות גדר גיאוגרפית ("geofencing"). אפילו בשרשראות ההדבקה המשוכללות ביותר, הקבוצה כוללת כתובות URL שמנתבות מחדש למסמכי דמה הנמצאים על פלטפורמות לגיטימיות לאחסון מסמכים, זאת אם הגידור הגיאוגרפי לא נעקף.
חוקרי Proofpoint מעריכים כי TA402 פועלת בתמיכה של יעדי הריגול הפלסטינים תוך התמקדות באיסוף מודיעין, ומזהירים כי הכנופייה ממשיכות להיות מעודכנת וחדשנית, ומחדשת באופן קבוע את שיטות התקיפה והתוכנות הזדוניות שלה.
