Ataques cibernéticos com assinatura do Hamas
14 de Novembro de 2024

Um ator de ameaças afiliado ao Hamas expandiu suas operações cibernéticas maliciosas além da espionagem, realizando ataques disruptivos que visam exclusivamente entidades israelenses.

A atividade, ligada a um grupo chamado WIRTE, também teve como alvo a Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito, disse a Check Point em uma análise.

"O conflito [Israel-Hamas] não interrompeu a atividade do WIRTE, que continua a aproveitar os eventos recentes na região em suas operações de espionagem", afirmou a empresa.

Além da espionagem, o ator de ameaça se envolveu recentemente em pelo menos duas ondas de ataques disruptivos contra Israel.

WIRTE é o codinome atribuído a uma ameaça persistente avançada (APT) do Oriente Médio que atua desde pelo menos agosto de 2018, mirando um amplo espectro de entidades pela região.

Foi documentado pela primeira vez pela empresa espanhola de cibersegurança S2 Grupo.

A equipe de hackers é avaliada como parte de um grupo politicamente motivado chamado Gaza Cyber Gang (também conhecido como Molerats e TA402), que é conhecido por usar ferramentas como BarbWire, IronWind e Pierogi em suas campanhas de ataque.

"A atividade deste cluster persistiu durante a guerra em Gaza", disse a companhia israelense.

Por um lado, a atividade contínua do grupo reforça sua afiliação com o Hamas; por outro, complica a atribuição geográfica dessa atividade especificamente a Gaza. As atividades do WIRTE em 2024 aproveitaram as tensões geopolíticas no Oriente Médio e a guerra para criar iscas de arquivos RAR enganosos que conduzem ao desdobramento do framework de pós-exploração Havoc.

Cadeias alternativas observadas antes de setembro de 2024 usaram arquivos RAR semelhantes para entregar o downloader IronWind.

Ambas as sequências de infecção empregam um executável legítimo para sideload do DLL carregado de malware e exibem ao vítima o documento PDF isca.

A Check Point disse também ter observado uma campanha de phishing em outubro de 2024 visando várias organizações israelenses, como hospitais e municípios, na qual e-mails foram enviados de um endereço legítimo pertencente ao parceiro da empresa de cibersegurança ESET em Israel.

"O e-mail continha uma versão recém-criada do SameCoin Wiper, que foi implantado em ataques contra Israel no início deste ano", disse.

Além de pequenas alterações no malware, a versão mais nova introduz uma função de criptografia única que apenas foi [...] encontrada em uma variante mais nova do loader IronWind. Além de sobrescrever arquivos com bytes aleatórios, a versão mais recente do SameCoin wiper modifica o plano de fundo do sistema da vítima para exibir uma imagem com o nome das Brigadas Al-Qassam, a ala militar do Hamas.

SameCoin é um wiper personalizado que foi descoberto em fevereiro de 2024 como usado por um ator de ameaça afiliado ao Hamas para sabotar dispositivos Windows e Android.

O malware foi distribuído sob a aparência de uma atualização de segurança.

As amostras do loader do Windows ("INCD-SecurityUpdate-FEB24.exe"), segundo a HarfangLab, tiveram seus timestamps alterados para coincidir com 7 de outubro de 2023, o dia em que o Hamas lançou sua ofensiva surpresa contra Israel.

Acredita-se que o vetor de acesso inicial seja um e-mail personificando o Diretório Nacional de Cibersegurança de Israel (INCD).

"Apesar do conflito contínuo no Oriente Médio, o grupo persistiu com múltiplas campanhas, exibindo um kit de ferramentas versátil que inclui wipers, backdoors e páginas de phishing usadas tanto para espionagem quanto para sabotagem", concluiu a Check Point.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...