近日,隸屬於哈馬斯的網路駭客組織已將其惡意網路行動擴展到間諜活動之外,專門針對以色列實體進行破壞性攻擊。有報導指出,駭客團隊是一個名為加薩網路幫(又稱 Molerats 和 TA402)的具有政治動機的組織的一部分,後者以在攻擊活動中使用 BarbWire、IronWind 和 Pierogi 等工具而聞名,並利用一款名為SameCoin的數據擦除器,對以色列的眾多機構發動了大規模的網路攻擊,這起事件不僅凸顯了當前網路戰的嚴峻形勢,更揭示了駭客組織利用勒索軟體變種進行破壞性攻擊的新趨勢。
SameCoin Wiper:一款偽裝成安全更新的惡意軟體
經過高度定制的擦除器,其設計目的是徹底摧毀目標系統上的數據,攻擊者將其偽裝成合法的安全更新,通過釣魚郵件等方式誘騙受害者下載並執行,一旦執行,SameCoin Wiper就會開始刪除系統上的文件、格式化硬碟,甚至修改系統設定,使設備完全無法使用。
WIRTE組織:哈馬斯背後的網路戰力量
是一個高度專業化的駭客組織,被認為與哈馬斯存在密切聯繫,該組織長期以來一直針對以色列的政府機構、基礎設施和關鍵產業進行網路攻擊。此次使用SameCoin Wiper進行大規模破壞,顯示了WIRTE在網路攻擊能力上的顯著提升。
根據研究人員發現,WIRTE 在 2024 年的活動利用了中東地緣政治緊張局勢和戰爭來製作欺騙性的 RAR 檔案誘餌,從而導致部署Havoc後利用框架, 2024 年 9 月之前觀察到的替代鏈利用類似的 RAR 檔案來提供IronWind下載程式,這兩種感染序列都使用合法的可執行檔來旁載入帶有惡意軟體的 DLL,並向受害者顯示誘餌 PDF 文件,還觀察到 2024 年 10 月發生了針對醫院和市政當局等多個以色列組織的網路釣魚活動,其中電子郵件是從屬於網路安全公司 ESET 在以色列的合作夥伴的合法地址發送的。
此電子郵件包含新創建的SameCoin Wiper 版本,該版本已在今年早些時候針對以色列的攻擊中部署,除了惡意軟體中的微小變化之外,新版本還引入了一種獨特的加密功能,功能僅在較新的 IronWind 加載程序變體中發現,除了用隨機位元組覆蓋文件之外,最新版本的 SameCoin 擦除器還修改了受害者係統的背景,以顯示帶有哈馬斯軍事部門 Al-Qassam Brigades 名稱的圖像,
SameCoin 是一款客製化擦除器,於 2024 年 2 月被發現被哈馬斯附屬威脅行為者用來破壞 Windows 和 Android 裝置,此惡意軟體以安全更新為幌子進行傳播。
據HarfangLab稱, Windows 載入程式樣本(「INCD-SecurityUpdate-FEB24.exe」)的時間戳已更改,以匹配 2023 年 10 月 7 日,即哈馬斯對以色列發動突然進攻的那一天,最初的存取媒介是一封冒充以色列國家網路管理局 (INCD) 的電子郵件,“儘管中東衝突不斷,該組織仍堅持開展多項活動,展示了一個多功能工具包,其中包括用於間諜和破壞活動的擦除器、後門和網絡釣魚頁面。
WIRTE組織利用SameCoin Wiper對以色列發動的網路攻擊,是一次典型的國家支持的網路攻擊事件。這起事件再次提醒我們,網路安全威脅已經成為當今世界面臨的重大挑戰。各國政府、企業和個人應共同努力,提升網路安全防禦能力,共同應對來自網路空間的威脅。
參考資料:
https://thehackernews.com/2024/11/hamas-affiliated-wirte-employs-samecoin.html