據(jù)The Hack News消息，與哈馬斯存在關(guān)聯(lián)的網(wǎng)絡(luò)攻擊者近期正專門針對以色列實體實施破壞性攻擊。

Check Point 在一份分析中表示，該活動與一個名為 WIRTE 的組織有關(guān)，該組織最近至少進行了兩波針對以色列的破壞性攻擊。

WIRTE 是中東高級持續(xù)威脅 （APT） 的綽號，首先由西班牙網(wǎng)絡(luò)安全公司 S2 Grupo 發(fā)現(xiàn)。該組織至少自 2018 年 8 月以來就一直活躍，主要針對該地區(qū)的廣泛實體發(fā)動攻擊，活動范圍包括巴勒斯坦、約旦、伊拉克、沙特阿拉伯和埃及。

Check Point表示，該組織的活動在整個加沙戰(zhàn)爭期間一直存在，一方面，它的持續(xù)活動加強了與哈馬斯的聯(lián)系，另一方面又使這項活動的地理歸屬變得特別復(fù)雜。

WIRTE 在 2024 年的活動被發(fā)現(xiàn)利用中東的地緣政治緊張局勢和戰(zhàn)亂來制作惡意RAR文檔，從而部署 Havoc 后期開發(fā)框架。 在 2024 年 9 月之前觀察到的替代鏈利用類似的 RAR 文檔部署 IronWind 下載器。這兩種感染序列利用向受害者傳播帶有欺騙性的 PDF 文檔，使用合法的可執(zhí)行文件來側(cè)載帶有惡意軟件的 DLL。

在 2024 年 10 月觀察到針對醫(yī)院和市政當(dāng)局等多個以色列組織的網(wǎng)絡(luò)釣魚活動中，釣魚電子郵件甚至顯示從網(wǎng)絡(luò)安全公司 ESET 在以色列的合作商發(fā)出，其中包含新創(chuàng)建的SameCoin Wiper 版本，該版本也曾在今年早些時候針對以色列的攻擊中部署。

除了用隨機字節(jié)覆蓋文件外，最新版本的 SameCoin 擦除器還會修改受害者系統(tǒng)的背景，以顯示帶有哈馬斯軍事分支 Al-Qassam Brigades 名稱的圖像。SameCoin 是一種以安全更新為幌子分發(fā)的定制擦除器，于 2024 年 2 月被發(fā)現(xiàn)，被哈馬斯附屬的攻擊者用來破壞 Windows 和 Android 設(shè)備。

據(jù) HarfangLab 稱，Windows 加載程序樣本（“INCD-SecurityUpdate-FEB24.exe”）的時間戳被更改為 2023 年 10 月 7 日，即哈馬斯對以色列發(fā)動突然攻勢的日期。而初始訪問媒介據(jù)信是一封冒充以色列國家網(wǎng)絡(luò)局 （INCD） 的電子郵件。

“盡管中東沖突持續(xù)，但該組織堅持開展多項活動，展示了一個多功能工具包，其中包括用于間諜和破壞活動的擦除器、后門和網(wǎng)絡(luò)釣魚頁面，”Check Point 在報告中總結(jié)道。