与巴勒斯坦结盟的黑客在最近的攻击中使用了新的NimbleMamba植入物

一个高级持续威胁（APT）黑客组织的活动动机可能与巴勒斯坦一致，该组织利用一种以前没有记录的植入物开展了一项新的活动，该植入物名为尼姆姆巴.

企业安全公司Proofpoint在一份报告中称，这些入侵利用了一个复杂的攻击链，目标是中东各国政府、外交政策智库和一家国有航空公司。该公司将秘密行动归因于一名被追踪为骚扰者的威胁行为者（又名TA402）。

臭名昭著的不断更新他们的恶意软件植入物和他们的交付方法，APT集团最近连接到间谍攻击针对人权活动家和记者在巴勒斯坦和土耳其，而先前的攻击暴露在2021年6月导致部署后门称为LastConn。

But the lull in the activities has been offset by the operators actively working to retool their arsenal, resulting in the development of NimbleMamba, which is designed to replace LastConn, which, in turn, is believed to be an upgraded version of another backdoor called SharpStage that was used by the same group as part of its campaigns in December 2020.

研究人员说，“NimbleMamba使用护栏确保所有感染的受害者都在TA402的目标区域内，”并补充说，该恶意软件“使用Dropbox API进行指挥和控制以及过滤”，这表明它用于“高度针对性的情报收集活动”

还提供了一个名为BrittleBush的特洛伊木马，该木马与远程服务器建立通信，以检索要在受感染机器上执行的Base64编码命令。此外，据说这些袭击与前述针对巴勒斯坦和土耳其的恶意活动同时发生。

感染序列反映了威胁行为人危害其目标所使用的完全相同的技术。作为起点的spear网络钓鱼电子邮件包含地理围栏链接，这些链接会导致恶意软件有效载荷—；但前提是收件人位于目标区域之一。如果目标位于攻击半径之外，链接会将用户重定向到一个良性新闻网站，如Emarat Al-Youm。

然而，在2021年12月和2022年1月的战役中，最近的变化涉及使用Dropbox URL和攻击者控制的WordPress站点来传送包含NimBeMeMaBa和BrittleBush的恶意RAR文件。

这一进展是对手使用Dropbox等云服务发动攻击的最新例子，更不用说老练的参与者能够以多快的速度对其入侵方法的公开披露做出反应，从而创造出能够超越安全和检测层的强大而有效的东西。

研究人员总结道：“TA402仍然是一个有效的威胁行动方，它通过针对中东的高度有针对性的行动证明了它的持久性。”。“这两次行动表明，鼹鼠仍然有能力根据其情报目标修改攻击链。”