Un actor de amenazas desde hace mucho tiempo afiliado a Hamas lleva a cabo espionaje contra gobiernos de Medio Oriente y ataques destructivos en Israel.
«Wirte» es una amenaza persistente avanzada (APT) de 6,5 años de antigüedad que apoya la agenda política de Hamás. Check Point Research lo identifica como un subgrupo de Gaza Cybergang (también conocido como Molerats), que también parece superponerse con TA402.
En las últimas semanas y meses, Wirte ha aprovechado la guerra en Gaza para difundir ataques de phishing contra entidades gubernamentales repartidas por toda la región. Él también hizo Ataques con limpiaparabrisas en Israel. «Esto demuestra que Hamás todavía tiene capacidades cibernéticas, incluso con la guerra en curso», dice Sergey Shykevich, jefe del grupo de inteligencia de amenazas de Check Point.
Los ataques de espionaje y borrado de Wirte
Los ataques Wirte no son particularmente únicos ni sofisticados. Un archivo PDF contenido en un correo electrónico puede contener un enlace que dirige a los objetivos a un archivo descargable, nombrado de alguna manera para darle legitimidad (por ejemplo, «Beirut – Desarrollos en la guerra en el Líbano 2 «). El archivo contendrá un documento señuelo, uno o más ejecutables legítimos y el malware.
Para mejorar esta cadena de infección, Wirte utilizó en ocasiones el cargador IronWinda partir de octubre de 2023. IronWind utiliza una cadena de infección compleja de varios pasos para eliminar malware, con el objetivo de realizar un análisis frustrante. Utiliza geocercas y cargadores reflectantes que ejecutan código directamente en la memoria, en lugar de en el disco, donde de otro modo podría ser detectado por el software antivirus.
En un ataque centrado en el espionaje, poner fin a esta cadena podría conducir a la Marco de pruebas de penetración de código abierto «Havoc». Havoc permite el acceso persistente a una máquina comprometida, útil para establecer control remoto, realizar movimientos laterales, robar datos, etc.
En febrero y octubre de 2024, por otro lado, las campañas de Wirte culminaron con el despliegue de un limpiador llamado «SameCoin».
El mes pasado, Wirte inventó la dirección de correo electrónico de un revendedor israelí legítimo de software de ESET. Su mensaje señuelo, enviado a hospitales, gobiernos municipales y otros, advertía a los destinatarios que «¡los atacantes del gobierno pueden intentar comprometer su dispositivo!». e incluyó un enlace de descarga. El enlace intentó primero conectarse al sitio web del Comando del Frente Interior de Israel, una rama de las Fuerzas de Defensa de Israel (FDI) encargada de proteger a los civiles. Sólo pueden acceder a su sitio personas que residen en Israel, por lo que si la redirección tuviera éxito, el ataque continuaría.
A continuación, un archivo zip descargado soltó y descifró un fondo de pantalla JPG pro-Hamas, un vídeo de propaganda, una herramienta diseñada para permitir el movimiento lateral dentro de las redes específicas y el limpiador SameCoin.
Imagen fija de un vídeo político publicado como parte de la campaña SameCoin; Fuente: @NicoleFishi19 en X
Lo que quiere Wirte
El espionaje de Wirte se ha extendido a Egipto y Arabia Saudita, pero sus objetivos favoritos parecen provenir de Jordania y la Autoridad Palestina (AP), la entidad gubernamental que supervisa partes de Cisjordania y está controlada por Fatah, el principal rival político de Hamas en Palestina. . En su mayor parte, esta situación se ha mantenido constante a lo largo de sus media docena de años de historia.
Wirte ha evolucionado un poco en su acercamiento a Israel. Y de esta manera, también refleja a otros actores palestinos amenazadores.
«Antes de la guerra, la actividad se centraba principalmente en el espionaje y la persistencia sigilosa en las redes», dice Shykevich. Esto contrasta marcadamente con su última ola de ruidosos ataques, por ejemplo, que estaban programados para comenzar el 7 de octubre, el primer aniversario de la Operación Al-Aqsa de Hamás, el ataque terrorista que mató a más de 1.000 israelíes y condujo a la captura de de casi 250 personas más.
«Ahora se trata cada vez más de hacer [breaches] público, mostrando datos, destrucción. Cada vez se presta más atención a las operaciones de piratería y filtración y a cómo pueden utilizar las capacidades cibernéticas para intentar dar forma a una narrativa. »
No te pierdas el próximo gratis Evento virtual de lectura oscura“Conozca a su enemigo: comprenda a los ciberdelincuentes y los actores estatales de amenazas”, 14 de noviembre a las 11 a. m., hora del Este. No te pierdas las sesiones sobre cómo entender MITRE ATT&CK, cómo utilizar la seguridad proactiva como arma y una clase magistral sobre respuesta a incidentes; y una gran cantidad de oradores de primer nivel como Larry Larsen de Navy Credit Federal Union, el ex analista de Kaspersky Lab Costin Raiu, Ben Read de Mandiant Intelligence, Rob Lee de SANS y Elvia Finalle de Omdia. Regístrate ahora!