据The Hack News消息,与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。
Check Point 在一份分析中表示,该活动与一个名为 WIRTE 的组织有关,该组织最近至少进行了两波针对以色列的破坏性攻击。
WIRTE 是中东高级持续威胁 (APT) 的绰号,首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃,主要针对该地区的广泛实体发动攻击,活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。
Check Point表示,该组织的活动在整个加沙战争期间一直存在,一方面,它的持续活动加强了与哈马斯的联系,另一方面又使这项活动的地理归属变得特别复杂。
WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档,从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档,使用合法的可执行文件来侧载带有恶意软件的 DLL。
在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中,钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出,其中包含新创建的SameCoin Wiper 版本,该版本也曾在今年早些时候针对以色列的攻击中部署。
除了用随机字节覆盖文件外,最新版本的 SameCoin 擦除器还会修改受害者系统的背景,以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器,于 2024 年 2 月被发现,被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。
据 HarfangLab 称,Windows 加载程序样本(“INCD-SecurityUpdate-FEB24.exe”)的时间戳被更改为 2023 年 10 月 7 日,即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 (INCD) 的电子邮件。
“尽管中东冲突持续,但该组织坚持开展多项活动,展示了一个多功能工具包,其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面,”Check Point 在报告中总结道。