Il malware IronWind imperversa in Medio Oriente: di cosa si tratta?

Come già visto con il conflitto tra Russia e Ucraina, malware e attacchi informatici sono ormai parte integrante di qualunque scenario bellico.

In questo senso, dunque, anche la recente crisi in Medio Oriente è terreno fertile per i cybercriminali. A quanto pare, infatti, enti governativi dei paesi dell’appena citata regione sono stati presi di mira da diverse campagne phishing, appositamente ideate per diffondere un nuovo malware battezzato IronWind.

L’agente malevolo in questione, individuato la prima volta da Proofpoint, è stato attribuito al gruppo noto come TA402 (ma anche con i nomi Molerats e Gaza Cyber Gang). Il collettivo di cybercriminali, a quanto pare, ha una stretta connessione con APT-C-23, squadra di hacker pro-Hamas già nota agli esperti di sicurezza informatica.

Joshua Miller, ricercatore senior sulle minacce presso Proofpoint ha voluto approfondire l’aspetto riguardante l’origine geografica di IronWind. Per l’esperto, infatti “Quando si tratta di autori di minacce allineati allo stato, Corea del Nord, Russia, Cina e Iran generalmente raccolgono la parte del leone dell’attenzione“.

Lo stesso ha poi chiarito come TA402 sia un gruppo storicamente legato ai territori palestinesi e come sia in grado di operare con operazioni di spionaggio altamente raffinato e pericoloso.

IronWind e APT-C-23 sono la punta di diamante del cybercrimine mediorientale

Secondo le ricerche degli esperti, il malware viene distribuito attraverso diversi vettori come:

• Allegati di file XLL;
• Archivi RAR;
• link a file Dropbox.

Il tutto avviene sfruttando diverse strategie di diffusione oltre a diverse tecniche di offuscamento, come alcune pratiche di geofencing.

Il downloader che viene proposto alle potenziali vittime è progettato per contattare il server dell’aggressore, andando a scaricare ulteriori payload. Tra di essi, spicca senza dubbio un toolkit post-sfruttamento molto pericoloso chiamato SharpSploit.

Cisco Talos, attraverso una ulteriore indagine, ha rivelato che TA402 sta svolgendo anche altre attività criminose. Lo stesso gruppo, infatti è stato osservati sfruttare la funzione “Release scores” dei quiz di Google Forms per inviare e-mail e organizzare elaborate truffe di criptovaluta.