Aktor ancaman yang berafiliasi dengan Hamas telah memperluas operasi siber jahatnya lebih dari sekadar spionase untuk melakukan serangan mengganggu yang secara eksklusif menargetkan entitas Israel.
Aktivitas tersebut, ditautkan ke grup yang disebut WIRTEjuga menargetkan Otoritas Palestina, Yordania, Irak, Arab Saudi, dan Mesir, kata Check Point dalam sebuah analisis.
“Itu [Israel-Hamas] konflik tidak mengganggu aktivitas WIRTE, dan mereka terus memanfaatkan kejadian terkini di wilayah tersebut dalam operasi spionase mereka,” kata perusahaan itu. “Selain spionase, pelaku ancaman baru-baru ini terlibat dalam setidaknya dua gelombang serangan yang mengganggu terhadap Israel. “
WIRTE adalah sebutan untuk ancaman persisten tingkat lanjut (APT) Timur Tengah yang telah aktif setidaknya sejak Agustus 2018, menargetkan berbagai entitas di seluruh kawasan. Ini pertama kali didokumentasikan oleh perusahaan keamanan siber Spanyol S2 Grupo.
Kru peretasan dinilai menjadi bagian dari kelompok bermotif politik yang disebut Geng Cyber Gaza (alias Molerats dan TA402), yang dikenal menggunakan alat seperti BarbWire, IronWind, dan Pierogi dalam kampanye serangannya.
“Aktivitas cluster ini terus berlanjut selama perang di Gaza,” kata perusahaan Israel tersebut. “Di satu sisi, aktivitas berkelanjutan kelompok ini memperkuat afiliasinya dengan Hamas; di sisi lain, hal ini mempersulit pengaitan geografis aktivitas ini khususnya ke Gaza.”
Aktivitas WIRTE pada tahun 2024 diketahui memanfaatkan ketegangan geopolitik di Timur Tengah dan perang untuk menciptakan umpan arsip RAR yang menipu yang mengarah pada penerapan kerangka kerja pasca-eksploitasi Havoc. Rantai alternatif yang diamati sebelum September 2024 telah memanfaatkan arsip RAR serupa untuk mengirimkan pengunduh IronWind.
Kedua urutan infeksi ini menggunakan executable yang sah untuk melakukan sideload DLL yang berisi malware dan menampilkan dokumen PDF umpan kepada korban.
Check Point mengatakan pihaknya juga mengamati kampanye phishing pada Oktober 2024 yang menargetkan beberapa organisasi Israel, seperti rumah sakit dan kota, di mana email dikirim dari alamat sah milik mitra perusahaan keamanan siber ESET di Israel.
“Email tersebut berisi versi baru dari SameCoin Wiper, yang digunakan dalam serangan terhadap Israel awal tahun ini,” katanya. “Selain perubahan kecil pada malware, versi yang lebih baru memperkenalkan fungsi enkripsi unik yang selama ini ada […] ditemukan di varian loader IronWind yang lebih baru.”
Selain menimpa file dengan byte acak, versi terbaru dari wiper SameCoin memodifikasi latar belakang sistem korban untuk menampilkan gambar bertuliskan nama Brigade Al-Qassam, sayap militer Hamas.
SameCoin adalah wiper khusus yang ditemukan pada Februari 2024 saat digunakan oleh pelaku ancaman yang berafiliasi dengan Hamas untuk menyabotase perangkat Windows dan Android. Malware tersebut didistribusikan dengan kedok pembaruan keamanan.
Sampel pemuat Windows (“INCD-SecurityUpdate-FEB24.exe”), menurut HarfangLab, stempel waktunya telah diubah agar sesuai dengan 7 Oktober 2023, hari ketika Hamas melancarkan serangan mendadaknya terhadap Israel. Vektor akses awal diyakini sebagai email yang meniru Direktorat Siber Nasional Israel (INCD).
“Meskipun konflik sedang berlangsung di Timur Tengah, kelompok ini tetap bertahan dengan berbagai kampanye, menampilkan perangkat serbaguna yang mencakup wiper, pintu belakang, dan halaman phishing yang digunakan untuk spionase dan sabotase,” simpul Check Point.