GAZA CYBERGANG

Diğer Adlar:

·       ATK89

·       DESERT FALCONS (alt grup)

·       GAZA CYBER GANG

·       GAZA HACKERS TEAM

·       MoleRATs (alt grup)

·       OPERATION PARLIAMENT (alt grup)

·       TAG-CT5

Hedef Aldıkları Sektörler: Finansal Servisler, Devlet Kurumları, Havacılık, İleri Teknoloji, Savunma, Enerji, Basın

Motivasyonlar ve Hedefler:

·       İdeoloji

Gaza Cybergang, Avrupa ve ABD de dahil olmak üzere tüm dünyada aktif olan, ancak esas olarak Orta Doğu ve Kuzey Afrika ve özellikle Filistin'de aktif olan, Arap siyasi motivasyonlu bir APT grubudur. Grup, üç alt gruptan oluşmaktadır:

-  Gaza Cybergang Group 1: aka MoleRATs: Grubun amacı, bir RAT’ın kurbana bulaşmasını sağlamaktır ve genellikle PasteBin, github gibi metin paylaşım platformlarından yararlanır.

- Gaza Cybergang Group 2: aka Desert Falcons: Grup, kötü amaçlı yazılımlar, araçlar ve teknikler kullanır. Kurbanlar genellikle siyasi bilgiler vaat eden veya spearphishing  e-postaları ile sahte web siteleri gibi sosyal mühendislik yöntemlerini kullanır.

- Gaza Cybergang Group 3: aka Operation Parliament: Grup, tüm dünyadaki yürütme ve yargı organlarını kapsayan ve Orta Doğu ve Kuzey Afrika'ya, özellikle Filistin'e yönelik casusluğa odaklanmaktadır. Grup, saldırıları için CMD / PowerShell komutlarıyla kötü amaçlı yazılım kullanmaktadır.

Her bir grubun TTP(Taktik, Teknik, Prosedür)’si farklıdır fakat kurbanlarına ilk erişimi sağladıktan sonra aynı araçları kullanırlar.

Kullanılan Araçlar, Zararlı Yazılımlar ve Sömürülen Zaafiyetler

Zararlı Yazılımlar	Sömürülen Zaafiyetler	Diğer Yazılımlar
Özel Araçlar Falcons’ Backdoor Falcons’ Downloader DustySky (NeD Worm) DHS Spyware DHS2015 / iRat Molerat Loader Scote TajMahal APT Framework   Birçok Tehdit Aktörü Tarafından Kullanılan Araçlar Poison Ivy Cobalt Strike Downeks Quasar RAT njRAT Xtreme RAT   Halka Açık Ulaşılabilir Araçlar BrowserPasswordDump10: Password dumper	CVE-2017-0199

 

Hedef Aldığı Ülkeler: Türkiye, Afganistan, Cezayir, Kanada, Çin, Şili, Danimarka, Cibuti, Mısır, Almanya, Hindistan, İran, Irak, İsrail, Kuveyt, Lübnan, Letonya, Libya, Makedonya, Fas, Yeni Zelanda, Umman, Filistin, Katar, Rusya, Suudi Arabistan, Sırbistan, Slovenya, Somali, Güney Kore, Suriye, Birleşik Arap Emirlikleri, İngiltere, ABD, Yemen

Kampanyalar

Mart 2013 – 2014: Falcon Desert alt grubunun en yüksek kurban sayısına sahip, cihazları ve cep telefonlarını hedefleyen ilk ve ana kampanyasıdır. Hedefler arasında hükümet kuruluşları, askeri merkezler ve önde gelen medya kuruluşları dahil olmak üzere Filistin ve Körfez ülkeleri yer alıyor.

Mart 2013 – 2014: Falcon Desert alt grubunun ikinci kampanyası, Falcons Truva Atı'nı kullandı, esas olarak İsrail'e odaklandı. 600'den fazla kurban tespit edildi.

Mart 2013 – 2014: Falcon Desert alt grubunun üçüncü kampanyası, esas olarak Mısır'daki politikacılar ve medya figürlerine odaklandı. Bu, DHS casus yazılımının kullanıldığı tek kampanyadır.

2014 – 2016: Moonlight Operasyonu: Araçlara ve hedeflere göre, Gaza Hacker Team son iki yılda 200'den fazla saldırının arkasında. Saldırılar Filistin, Mısır, ABD, Ürdün, Libya, İran, İsrail ve Çin'deki hedeflere yönelikti.

Eylül 2015 –DustySky Operasyonu: MoleRAT'lar, DustySKy kötü amaçlı yazılımını bir kampanya sırasında birden fazla saldırıda kullandılar. Seçilen hedeflere kötü amaçlı e-posta mesajları gönderdiler. Hedefler arasında İsrail, Mısır, Suudi Arabistan, Birleşik Arap Emirlikleri, Irak, ABD ve Avrupa'nın farklı ülkeleri yer aldı.

2017: 2017'nin başlarından beri, Operastion Parliament adlı grup, sofistike siber yeteneklerle Ortadoğu'ya saldırıyor. Virüs bulaşmasına geçmeden önce kurban cihazlarını doğrulamak ve komuta ve kontrol sunucularını korumak için özellikle dikkatli oldular. Operation Parliament’in kurbanları, grubun daha çok bilgi toplamaya odaklanması sebebiyle Gaza Cybergang ve Desert Falcon gruplarının kurbanlarından farklıdır. Kötü amaçlı yazılımları saldırganlar için uzak CMD / PowerShell terminali sağlayarak, scriptlerin / komutların yürütülmesini ve HTTP istekleri aracılığıyla alınan sonuçları etkinleştirir.

Nisan 2019 – SneakyPastes Kampanyası: Gaza Cybergang, tek seferlik adreslerden ve tek seferlik alan adlarından taşınan phishing e-postalarıyla başlayan çok aşamalı bir kampanya başlattı. E-postalar, kötü amaçlı yazılım veya virüslü ekler, bağlantılar içeriyordu. Kurban eki açarsa (veya bağlantıyı izlerse), cihazı, bulaşma zincirini etkinleştirmek için programlanmış bir kötü amaçlı yazılımı alır. Kötü amaçlı yazılımı bilgisayara bulaştığında, konumunu korumaya, varlığını antivirüsten gizlemeye ve komut sunucusunu gizlemeye çalışır. Son olarak, cihaza bir C2 sunucusuna gönderilmek üzere PDF, DOC, DOCX ve XSLX dosyaları için tarayan bir RAT kötü amaçlı yazılım bulaşmıştır.

Taktik ve Teknikler (MITRE ATT&CK Framework

Initial Access

T1091 - Replication Through Removable Media

Defense Evasion

T1553.002 – Subvert Trust Controls: Code Signing

Credential Access

T1003 – OS Credential Dumping

Discovery

T1057 - Process Discovery

Lateral Movement

T1091 - Replication Through Removable Media

Command and Control

T1008 - Fallback Channels

Impact

T1491 - Defacement