VietNetwork.Vn

Một tác nhân đe dọa có liên hệ với Hamas đã mở rộng hoạt động mạng độc hại của mình vượt ra ngoài hoạt động gián điệp để thực hiện các cuộc tấn công phá hoại chỉ nhắm vào các thực thể của Israel.

Theo phân tích của Check Point, hoạt động này có liên quan đến một nhóm có tên WIRTE, cũng nhắm vào Chính quyền Palestine, Jordan, Iraq, Ả Rập Xê Út và Ai Cập.


"Cuộc xung đột [Israel-Hamas] không làm gián đoạn hoạt động của WIRTE và họ tiếp tục tận dụng các sự kiện gần đây trong khu vực trong các hoạt động gián điệp của mình", công ty cho biết. "Ngoài hoạt động gián điệp, gần đây, tác nhân đe dọa này đã tham gia vào ít nhất hai đợt tấn công phá hoại nhằm vào Israel".

WIRTE là biệt danh được gán cho một mối đe dọa dai dẳng nâng cao (APT) ở Trung Đông đã hoạt động ít nhất từ tháng 8 năm 2018, nhắm vào nhiều thực thể trên khắp khu vực. Lần đầu tiên được công ty an ninh mạng Tây Ban Nha S2 Grupo ghi nhận.

Nhóm tin tặc này được đánh giá là một phần của một nhóm có động cơ chính trị có tên là Gaza Cyber Gang (hay còn gọi là Molerats và TA402), nhóm sau này được biết đến với việc sử dụng các công cụ như BarbWire, IronWind và Pierogi trong các chiến dịch tấn công của mình.

"Hoạt động của nhóm này vẫn tiếp diễn trong suốt cuộc chiến ở Gaza", công ty Israel cho biết. "Một mặt, hoạt động liên tục của nhóm này củng cố mối liên hệ với Hamas; mặt khác, nó làm phức tạp thêm việc quy kết hoạt động này cụ thể là ở Gaza".

Các hoạt động của WIRTE vào năm 2024 đã được phát hiện là tận dụng các căng thẳng địa chính trị ở Trung Đông và cuộc chiến tạo ra các kho lưu trữ RAR lừa đảo dẫn đến việc triển khai khuôn khổ hậu khai thác Havoc. Các chuỗi thay thế được quan sát trước tháng 9 năm 2024 đã tận dụng các kho lưu trữ RAR tương tự để cung cấp trình tải xuống IronWind.


Cả hai trình tự lây nhiễm này đều sử dụng một chương trình thực thi hợp pháp để tải DLL chứa phần mềm độc hại và hiển thị cho nạn nhân tài liệu PDF giả mạo.

Check Point cho biết họ cũng phát hiện một chiến dịch lừa đảo vào tháng 10 năm 2024 nhắm vào một số tổ chức của Israel, chẳng hạn như bệnh viện và thành phố, trong đó email được gửi từ một địa chỉ hợp pháp thuộc về đối tác của công ty an ninh mạng ESET tại Israel.

"Email chứa phiên bản mới được tạo ra của SameCoin Wiper, được triển khai trong các cuộc tấn công vào Israel vào đầu năm nay", nó cho biết. "Ngoài những thay đổi nhỏ trong phần mềm độc hại, phiên bản mới hơn còn giới thiệu một chức năng mã hóa độc đáo chỉ được [...] tìm thấy trong một biến thể trình tải IronWind mới hơn".

Bên cạnh việc ghi đè các tệp bằng các byte ngẫu nhiên, phiên bản mới nhất của chương trình xóa dữ liệu SameCoin còn sửa đổi nền của hệ thống nạn nhân để hiển thị hình ảnh có tên Lữ đoàn Al-Qassam, đơn vị quân sự của Hamas.

SameCoin là một chương trình xóa dữ liệu được thiết kế riêng được phát hiện vào tháng 2 năm 2024 khi được một tác nhân đe dọa liên kết với Hamas sử dụng để phá hoại các thiết bị Windows và Android. Phần mềm độc hại này được phân phối dưới vỏ bọc là bản cập nhật bảo mật.

Theo HarfangLab, các mẫu trình tải Windows ("INCD-SecurityUpdate-FEB24.exe") đã được thay đổi dấu thời gian để khớp với ngày 7 tháng 10 năm 2023, ngày Hamas phát động cuộc tấn công bất ngờ vào Israel. Người ta tin rằng vectơ truy cập ban đầu là một email mạo danh Cục An ninh mạng Quốc gia Israel (INCD).

Check Point kết luận: "Bất chấp xung đột đang diễn ra ở Trung Đông, nhóm này vẫn kiên trì thực hiện nhiều chiến dịch, phô diễn bộ công cụ đa năng bao gồm các chương trình xóa dữ liệu, cửa hậu và các trang lừa đảo được sử dụng cho cả hoạt động do thám và phá hoại".