Alors que la plupart des campagnes APT-C-23 signalées précédemment semblaient viser des personnes arabophones au Moyen-Orient, Cybereason a récemment découvert une nouvelle campagne élaborée visant des Israéliens, parmi lesquels un groupe de cibles de haut niveau travaillant pour des organisations sensibles de défense, d’application de la loi et de services d’urgence. Les opérateurs de la campagne utilisent des techniques d’ingénierie sociale sophistiquées, visant à fournir des portes dérobées non documentées pour les appareils Windows et Android. L’objectif de l’attaque était d’extraire des informations sensibles des appareils des victimes à des fins d’espionnage.

Notre enquête révèle qu’APT-C-23 a effectivement mis à niveau son arsenal de logiciels malveillants avec de nouveaux outils, baptisés Barb(ie) Downloader et BarbWire Backdoor, qui sont dotés d’une furtivité accrue et mettent l’accent sur la sécurité opérationnelle. La nouvelle campagne qui cible les Israéliens semble disposer d’une infrastructure dédiée, presque totalement séparée de l’infrastructure connue d’APT-C-23, et se concentre davantage sur les cibles arabophones.

Principales conclusions de l’enquête :

• Nouvelle campagne d’espionnage ciblant les Israéliens : Cybereason a découvert une campagne nouvelle et élaborée qui cible des individus et des responsables israéliens de haut niveau. La campagne est caractérisée comme une campagne d’espionnage visant à voler des informations sensibles sur des PC et des appareils mobiles appartenant à un groupe cible soigneusement choisi d’individus israéliens.

• Attribution à APT-C-23 : Sur la base de notre enquête et de nos connaissances antérieures sur le groupe, Cybereason évalue avec une confiance modérée à élevée que le groupe à l’origine de cette nouvelle campagne est APT-C-23, un groupe arabophone à motivation politique qui opèrerait pour le compte du Hamas.

• L’ingénierie sociale comme principal vecteur d’infection : Les attaquants ont utilisé de faux profils Facebook pour inciter des personnes spécifiques à télécharger des applications de messages directs trojanisées pour Android et PC, ce qui leur a permis d’accéder aux appareils des victimes.

• Un arsenal de logiciels malveillants mis à niveau : La nouvelle campagne se compose de deux logiciels malveillants précédemment non documentés, surnommés Barb(ie) Downloader, et BarbWire Backdoor, qui est une porte dérobée sophistiquée, qui utilisent tous deux un mécanisme de furtivité amélioré pour rester non détectés. En outre, Cybereason a observé une version améliorée d’un implant Android surnommé VolatileVenom.

• APT-C-23 intensifie son jeu : Jusqu’à récemment, le groupe utilisait des outils connus qui lui servaient depuis des années, et était connu pour ses outils et techniques relativement peu sophistiqués. L’analyse de cette campagne montre que le groupe a revu sa panoplie d’outils et sa façon de procéder.