Uzun süredir Hamas’a bağlı bir tehdit aktörü, Orta Doğu’daki hükümetlere karşı casusluk yapıyor ve İsrail’de yıkıcı saldırılar gerçekleştiriyor.
“Wirte”, Hamas’ın siyasi gündemini desteklemek için çalışan 6 1/2 yıllık gelişmiş kalıcı bir tehdittir (APT). Check Point Research, onu Gazze Siber Çetesi’nin (diğer adıyla Moleratlar) bir alt grubu olarak tanımlıyor ve bunun da TA402 ile örtüştüğü düşünülüyor.
Son haftalarda ve aylarda Wirte, bölgeye yayılmış devlet kurumlarına yönelik kimlik avı saldırılarını yaymak için Gazze savaşından yararlandı. Ayrıca yürütmektedir İsrail’de silecek saldırıları. Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Bu, devam eden savaşa rağmen Hamas’ın hâlâ siber yeteneklere sahip olduğunu gösteriyor” diyor.
Wirte’nin Casusluk ve Silme Saldırıları
Wirte saldırıları özellikle benzersiz veya karmaşık değildir. Bir e-postadaki PDF, hedefleri indirilmek üzere bir dosyaya yönlendiren ve dosyaya meşruiyet kazandıracak şekilde adlandırılmış bir bağlantı içerebilir (örneğin, “Beyrut – Lübnan’daki Savaşın Gelişmeleri 2”). Dosya bir yem belgesi, bir veya daha fazla meşru yürütülebilir dosya ve kötü amaçlı yazılım içerecektir.
Bu enfeksiyon zincirini geliştirmek için Wirte bazen IronWind yükleyiciEkim 2023’ten itibaren. IronWind, sinir bozucu analizler yapmak amacıyla kötü amaçlı yazılımları bırakmak için karmaşık, çok aşamalı bir bulaşma zinciri kullanıyor. Kodu, antivirüs yazılımı tarafından fark edilebilecek disk yerine doğrudan bellekte çalıştıran coğrafi sınırlama ve yansıtıcı yükleyiciler kullanır.
Casusluk odaklı bir saldırıda bu zincirin sonu, açık kaynak penetrasyon testi çerçevesi “Havoc.” Havoc, güvenliği ihlal edilmiş bir makineye kalıcı erişim sağlar; uzaktan kontrol oluşturmak, yanal hareket gerçekleştirmek, veri çalmak ve daha fazlası için kullanışlıdır.
Aksine, Şubat ve Ekim 2024’te Wirte kampanyaları “SameCoin” adlı bir silicinin kullanıma sunulmasıyla zirveye ulaştı.
Geçtiğimiz ay Wirte, meşru bir İsrailli ESET yazılımı satıcısının e-posta adresini kukla olarak kullandı. Hastanelere, belediyelere ve diğer kurumlara gönderilen cezbedici mesaj, alıcıları “Hükümet merkezli saldırganların cihazınızı tehlikeye atmaya çalışıyor olabileceği” konusunda uyardı. ve bir indirme bağlantısı içeriyordu. Bağlantı ilk olarak İsrail Savunma Kuvvetleri’nin (IDF) sivilleri korumaktan sorumlu bir kanadı olan İsrail İç Cephe Komutanlığı’nın web sitesine bağlanmaya çalıştı. Siteye yalnızca İsrail’dekiler erişebilir, dolayısıyla yönlendirme başarılı olursa saldırı devam edecek.
Daha sonra, indirilen bir zip dosyası, Hamas yanlısı bir duvar kağıdı JPG’yi, bir propaganda videosunu, hedeflenen ağlar içinde yanal hareketi sağlamak için tasarlanmış bir aracı ve SameCoin silicisini düşürdü ve şifresini çözdü.
SameCoin kampanyasında yayılan siyasi bir videodan hareketsiz görüntü; Kaynak: X’te @NicoleFishi19
Wirte Ne İstiyor?
Wirte casusluğu Mısır ve Suudi Arabistan’a da sıçradı, ancak tercih ettiği hedefler Ürdün ve Batı Şeria’nın bazı kısımlarını denetleyen ve Hamas’ın Filistin’deki başlıca siyasi rakibi olan El Fetih tarafından kontrol edilen hükümet kuruluşu olan Filistin Otoritesi’nden (PA) geliyor gibi görünüyor. Çoğunlukla bu, yarım düzine yıllık tarihinde tutarlı kalmıştır.
Wirte’nin İsrail’e yaklaşımı biraz gelişti. Ve bu yönüyle diğer Filistinli tehdit aktörlerine de ayna tuttu.
Shykevich şöyle açıklıyor: “Savaştan önce çoğunlukla casusluğa ve ağlarda gizlice ısrar etmeye odaklanıyordu.” Bu, örneğin Hamas’ın 1000’den fazla İsrailliyi öldüren terör saldırısı olan El Aksa Tufanı Operasyonunun birinci yıl dönümü olan 7 Ekim’de başlaması planlanan son yüksek sesli silici saldırı dalgasıyla tam bir tezat oluşturuyor. yaklaşık 250 kişinin daha yakalanmasına yol açtı.
“Şimdi, giderek daha fazla şey yapma konusu haline geldi [breaches] halka açık, verileri gösteren, yıkım. Odak noktası, hack-and-sızdırma operasyonlarına ve bir anlatıyı şekillendirmek için siber yetenekleri nasıl kullanabileceğine odaklanıyor.”
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!