Het aan Hamas gelieerde WIRTE gebruikt SameCoin Wiper bij ontwrichtende aanvallen op Israël

Een aan Hamas gelieerde dreigingsacteur heeft zijn kwaadwillige cyberoperaties verder uitgebreid dan spionage en ontwrichtende aanvallen uitgevoerd die uitsluitend op Israëlische entiteiten zijn gericht.

De activiteit, gekoppeld aan een groep genaamd WIRTEheeft zich ook gericht op de Palestijnse Autoriteit, Jordanië, Irak, Saoedi-Arabië en Egypte, zei Check Point in een analyse.

“Het conflict (Israël-Hamas) heeft de activiteiten van WIRTE niet verstoord, en zij blijven de recente gebeurtenissen in de regio benutten in hun spionageoperaties”, aldus het bedrijf. “Naast spionage heeft de dreigingsacteur recentelijk deelgenomen aan ten minste twee golven van ontwrichtende aanvallen op Israël.”

WIRTE is de naam die wordt toegekend aan een geavanceerde persistente dreiging (APT) uit het Midden-Oosten die sinds ten minste augustus 2018 actief is en zich richt op een breed spectrum van entiteiten in de regio. Het werd voor het eerst gedocumenteerd door het Spaanse cyberbeveiligingsbedrijf S2 Grupo.

De hackploeg wordt geacht deel uit te maken van een politiek gemotiveerde groep genaamd de Gaza Cyber ​​Gang (ook bekend als Molerats en TA402), waarvan de laatste bekend staat om het gebruik van tools als BarbWire, IronWind en Pierogi in zijn aanvalscampagnes.

“De activiteit van dit cluster is gedurende de hele oorlog in Gaza blijven bestaan”, aldus het Israëlische bedrijf. “Aan de ene kant versterkt de voortdurende activiteit van de groep haar banden met Hamas; aan de andere kant compliceert het de geografische toewijzing van deze activiteit, specifiek aan Gaza.”

De activiteiten van WIRTE in 2024 blijken te profiteren van de geopolitieke spanningen in het Midden-Oosten en de oorlog om misleidende RAR-archieflokmiddelen te vervaardigen die leiden tot de inzet van het Havoc-post-exploitatieraamwerk. Alternatieve ketens die vóór september 2024 zijn waargenomen, hebben vergelijkbare RAR-archieven gebruikt om de IronWind-downloader te leveren.

Ontwrichtende aanvallen op Israël

Beide infectiesequenties maken gebruik van een legitiem uitvoerbaar bestand om de met malware geregen DLL te sideloaden en aan het slachtoffer het valse PDF-document weer te geven.

Check Point zei dat het in oktober 2024 ook een phishing-campagne heeft waargenomen gericht op verschillende Israëlische organisaties, zoals ziekenhuizen en gemeenten, waarbij e-mails werden verzonden vanaf een legitiem adres van de partner van cyberbeveiligingsbedrijf ESET in Israël.

“De e-mail bevatte een nieuw gemaakte versie van de SameCoin Wiper, die eerder dit jaar werd ingezet bij aanvallen op Israël”, aldus het rapport. “Naast kleine wijzigingen in de malware introduceert de nieuwere versie een unieke encryptiefunctie die alleen (…) gevonden is in een nieuwere IronWind loader-variant.”

Naast het overschrijven van bestanden met willekeurige bytes, wijzigt de meest recente versie van de SameCoin-wisser de achtergrond van het slachtoffersysteem om een ​​afbeelding weer te geven met de naam van Al-Qassam Brigades, de militaire vleugel van Hamas.

SameCoin is een op maat gemaakte wisser die in februari 2024 werd ontdekt en werd gebruikt door een aan Hamas gelieerde bedreigingsacteur om Windows- en Android-apparaten te saboteren. De malware werd verspreid onder het mom van een beveiligingsupdate.

De tijdstempels van de Windows-loader-voorbeelden (“INCD-SecurityUpdate-FEB24.exe”) werden volgens HarfangLab gewijzigd zodat ze overeenkomen met 7 oktober 2023, de dag waarop Hamas zijn verrassingsoffensief tegen Israël lanceerde. Aangenomen wordt dat de initiële toegangsvector een e-mail is die zich voordoet als het Israëlische Nationale Cyber ​​Directoraat (INCD).

“Ondanks het aanhoudende conflict in het Midden-Oosten is de groep doorgegaan met meerdere campagnes, waarbij ze een veelzijdige toolkit presenteren met ruitenwissers, achterdeurtjes en phishing-pagina’s die worden gebruikt voor zowel spionage als sabotage”, concludeerde Check Point.

Thijs Van der Does