Check Point Research 最近曝光了哈马斯下属网络间谍组织 WIRTE 的持续活动,尽管中东冲突不断加剧,但该组织的活动仍在继续。WIRTE 一直专注于间谍活动,但在 2024 年扩大了行动范围,包括破坏性攻击,尤其是针对以色列的攻击。
报告指出:“冲突并没有中断 WIRTE 的活动,他们继续利用该地区最近发生的事件开展间谍活动,目标可能是巴勒斯坦权力机构、约旦、伊拉克、埃及和沙特阿拉伯的实体。”
WIRTE于2019年首次被记录在案,它一直以中东地区的组织为目标进行情报搜集。然而,在2024年,Check Point观察到WIRTE在2月和10月使用定制的擦除恶意软件SameCoin攻击以色列实体。这一变化表明该组织采用了一种新的双重目的方法:在整个中东地区进行间谍活动,并在以色列进行有针对性的破坏。该组织的破坏行动因 “该组织使用的定制恶意软件与针对以色列实体的雨刷恶意软件 SameCoin 之间的明显联系 ”而得到加强。
Lure PDF | 图片: Check Point
WIRTE 的活动利用精心制作的针对地区问题的诱饵,通常通过恶意 PDF 文件和档案展示。最近的一个感染链涉及一个名为 “黎巴嫩战争的发展 ”的 PDF 文件,该文件将用户引向一个包含 DLL 文件的 RAR 文件,该 DLL 文件用于分发恶意有效载荷。通过这些方法,WIRTE 在间谍活动中仍然非常活跃,其目标是巴勒斯坦权力机构和几个邻国。
此外,该组织还采用了用户代理过滤和基于 HTML 的有效载荷嵌入来避免被发现。WIRTE的基础架构包括类似合法网站的saudiarabianow[.]org和egyptican[.]com等域名,进一步增加了复杂性。Check Point 指出:“WIRTE 的工具不断演变……其运作的关键方面保持一致:域名命名约定、通过 HTML 标签通信、仅限于特定用户代理的响应以及重定向到合法网站。”
最近几个月,该组织使用 SameCoin 雨刷恶意软件表明,他们的策略正朝着更具侵略性的方向转变,特别是针对以色列。2024 年 10 月,模仿以色列 ESET 经销商的电子邮件向以色列医院和市政当局部署了新变种的雨刷器,并嵌入了支持哈马斯的宣传内容。该恶意软件设计为仅在以色列环境中激活,“使用响应的第一个字节作为其 XOR 密钥 ”来验证以色列目标。
世界反恐怖主义情报组织最近的活动反映出,该组织正在从传统的间谍活动向破坏活动扩展,并拥有新的能力和多功能工具包,令人担忧。该组织的持续存在和不断演变的方法凸显了 WIRTE 在中东地区构成的重大威胁,尤其是在地缘政治局势持续紧张的情况下。报告总结道:“尽管中东地区冲突不断,但该组织仍持续存在……展示了一个多功能工具包,其中包括用于间谍和破坏活动的 Wipers、后门和网络钓鱼页面。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容