2024年11月12日,Check Point Research报告追踪了与哈马斯相关的WIRTE组织在中东的持续活动。尽管该地区冲突激烈,WIRTE未受干扰,继续对包括巴勒斯坦权力机构、约旦、埃及和沙特阿拉伯在内的多个实体进行间谍活动。自2023年底起,WIRTE使用名为IronWind的加载器展开行动,该工具能够通过HTML标签与命令和控制服务器通信。除了间谍活动,该组织近期对以色列发起了两波破坏性攻击,部署了名为SameCoin的自定义擦除恶意软件,这与其自定义工具的代码重叠清晰关联。WIRTE自2018年起活跃,其操作保持一贯的通信方式和域名命名模式。CheckPoint的分析揭示,该组织在2024年不仅延续了以往的间谍行动,还扩展至具有破坏性的网络攻击,凸显了其政治动机和与加沙地区的联系。尽管地理归属复杂,该组织持续的活动进一步证明其与哈马斯的关系。
Check Point最新的跟踪研究显示,哈马斯旗下的威胁行为者已经将其恶意网络行动扩展到间谍活动之外,专门针对以色列实体发动破坏性攻击。分析报告显示,此次活动与一个名为WIRTE的组织有关,该组织还针对巴勒斯坦权力机构、约旦、伊拉克、沙特阿拉伯和埃及。Check Point表示,以色列与哈马斯的冲突并未扰乱WIRTE的活动,他们继续利用该地区最近发生的事件进行间谍活动。除了间谍活动之外,该威胁行为者最近还对以色列发动了至少两波破坏性攻击。- 尽管该地区战火纷飞,Check Point Research仍在追踪WIRTE威胁行为者的持续活动,该行为者此前与与哈马斯有关联的组织加沙网络帮有联系。
- 这场冲突并没有扰乱WIRTE的活动,他们继续利用该地区最近发生的事件进行间谍活动,可能针对巴勒斯坦权力机构、约旦、伊拉克、埃及和沙特阿拉伯的实体。
- 研究表明,WIRTE组织已将范围扩大到间谍活动之外,并开始实施破坏性攻击。Checkpoint发现该组织使用的自定义恶意软件与SameCoin之间存在明显联系。SameCoin是一种擦除恶意软件,于2024年2月和10月分两波针对以色列实体发动攻击。
- 虽然IRTE 的工具自该组织成立以来一直在不断发展,但其运营的关键方面仍然保持一致:域名命名约定、通过HTML标签进行通信、仅限于特定用户代理的响应以及重定向到合法网站。
WIRTE是中东地区一种高级持续性威胁(APT)的绰号,自2018年8月起活跃,针对该地区的广泛实体。它最早由西班牙网络安全公司S2 Grupo记录下来。该黑客团队被认为是具有政治动机的组织“加沙网络帮”(又名Molerats和TA402)的一部分,该组织因在攻击活动中使用BarbWire、IronWind和Pierogi等工具而闻名。“该集团的活动在加沙战争期间一直持续,”这家以色列公司表示。“一方面,该集团的持续活动加强了其与哈马斯的联系;另一方面,也使该活动与加沙的地理归属变得复杂。”据发现,WIRTE在2024年的活动利用了中东的地缘政治紧张局势和战争,制作了欺骗性的RAR压缩文件诱饵,从而导致Havoc后利用框架的部署。在2024年9月之前观察到的替代链利用了类似的RAR压缩文件来传播IronWind下载器。已发现的两个感染序列都使用合法的可执行文件来侧载带有恶意软件的DLL,并向受害者显示诱饵PDF文档。![]()
诱饵PDF
![]()
Havoc感染链
![]()
Check Point表示,它还观察到2024年10月的一次网络钓鱼活动,该活动针对的是以色列的几家组织,例如医院和市政当局,其中的电子邮件是从网络安全公司ESET在以色列的合作伙伴的合法地址发送的。“该电子邮件包含一个新版本的SameCoin Wiper,该版本在今年早些时候针对以色列的攻击中被部署,”它表示。“除了恶意软件的细微变化外,新版本还引入了一种独特的加密功能,这种功能仅在较新的IronWind加载器变体中发现。”除了用随机字节覆盖文件之外,最新版本的SameCoin擦除器还会修改受害者系统的背景,显示带有哈马斯军事部门卡桑旅名称的图像。SameCoin是一款定制擦除器,于2024年2月被发现,被与哈马斯有关联的威胁行为者用来破坏Windows和Android设备。该恶意软件以安全更新为幌子进行传播。根据HarfangLab的说法,Windows加载器样本(“INCD-SecurityUpdate-FEB24.exe”)的时间戳被修改为2023年10月7日,即哈马斯对以色列发动突然袭击的那一天。初始访问媒介被认为是一封冒充以色列国家网络局(INCD)的电子邮件。Checkpoint揭露了WIRTE APT组织在过去一年中开展的活动和部署的工具。尽管中东地区战乱不断,但该组织仍坚持开展多项活动,展示了一套多功能工具包,其中包括用于间谍和破坏的Wipers、后门和网络钓鱼页面。Checkpoint的调查还强调了WIRTE持续依赖用户代理过滤、使用HTML标签构建有效负载、重定向到新闻网站和一致的基础设施样式等策略。尽管之前的分析没有得出明确的结论,但Checkpoint的评估表明,WIRTE很可能与哈马斯结盟。这一评估是在仔细研究WIRTE的运营历史后得出的,该历史揭示了与哈马斯活动相似的模式。此外,WIRTE的目标选择,加上其分发内容的性质,进一步证实了这一结论之间的联系。1、https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-expands-to-disruptive-activity/2、https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html
