Wiper malware - WIRTE threat actor group

Check Point Research 最近曝光了哈马斯下属网络间谍组织 WIRTE 的持续活动,尽管中东冲突不断加剧,但该组织的活动仍在继续。WIRTE 一直专注于间谍活动,但在 2024 年扩大了行动范围,包括破坏性攻击,尤其是针对以色列的攻击。

报告指出:“冲突并没有中断 WIRTE 的活动,他们继续利用该地区最近发生的事件开展间谍活动,目标可能是巴勒斯坦权力机构、约旦、伊拉克、埃及和沙特阿拉伯的实体。”

WIRTE于2019年首次被记录在案,它一直以中东地区的组织为目标进行情报搜集。然而,在2024年,Check Point观察到WIRTE在2月和10月使用定制的擦除恶意软件SameCoin攻击以色列实体。这一变化表明该组织采用了一种新的双重目的方法:在整个中东地区进行间谍活动,并在以色列进行有针对性的破坏。该组织的破坏行动因 “该组织使用的定制恶意软件与针对以色列实体的雨刷恶意软件 SameCoin 之间的明显联系 ”而得到加强。

Lure PDF | 图片: Check Point

WIRTE 的活动利用精心制作的针对地区问题的诱饵,通常通过恶意 PDF 文件和档案展示。最近的一个感染链涉及一个名为 “黎巴嫩战争的发展 ”的 PDF 文件,该文件将用户引向一个包含 DLL 文件的 RAR 文件,该 DLL 文件用于分发恶意有效载荷。通过这些方法,WIRTE 在间谍活动中仍然非常活跃,其目标是巴勒斯坦权力机构和几个邻国。

此外,该组织还采用了用户代理过滤和基于 HTML 的有效载荷嵌入来避免被发现。WIRTE的基础架构包括类似合法网站的saudiarabianow[.]org和egyptican[.]com等域名,进一步增加了复杂性。Check Point 指出:“WIRTE 的工具不断演变……其运作的关键方面保持一致:域名命名约定、通过 HTML 标签通信、仅限于特定用户代理的响应以及重定向到合法网站。”

最近几个月,该组织使用 SameCoin 雨刷恶意软件表明,他们的策略正朝着更具侵略性的方向转变,特别是针对以色列。2024 年 10 月,模仿以色列 ESET 经销商的电子邮件向以色列医院和市政当局部署了新变种的雨刷器,并嵌入了支持哈马斯的宣传内容。该恶意软件设计为仅在以色列环境中激活,“使用响应的第一个字节作为其 XOR 密钥 ”来验证以色列目标。

世界反恐怖主义情报组织最近的活动反映出,该组织正在从传统的间谍活动向破坏活动扩展,并拥有新的能力和多功能工具包,令人担忧。该组织的持续存在和不断演变的方法凸显了 WIRTE 在中东地区构成的重大威胁,尤其是在地缘政治局势持续紧张的情况下。报告总结道:“尽管中东地区冲突不断,但该组织仍持续存在……展示了一个多功能工具包,其中包括用于间谍和破坏活动的 Wipers、后门和网络钓鱼页面。”

文章原文链接:https://www.anquanke.com/post/id/301810