A Hamászhoz kötődő WIRTE folytatja közel-keleti kibertevékenységét

Editors' Pick

A WIRTE egy közel-keleti APT csoport, amely legalább 2018 óta aktív. A csoport elsősorban arról ismert, hogy politikai indíttatású kiberkémkedést folytat, és valószínűleg a regionális geopolitikai konfliktusokhoz kapcsolódó hírszerzésre összpontosít. A WIRTE vélhetően a Hamászhoz kötődő Gaza Cybergang nevű csoporthoz kapcsolódó alcsoport. A Check Point Research 2023 vége óta figyeli a WIRTE csoport által folytatott kampányt, amely közel-keleti entitásokat, különösen a Palesztin Hatóságot, Jordániát, Egyiptomot és Szaúd-Arábiát veszi célba. Ez a kampány olyan egyedi loader-eket használ, mint az IronWind, amelyet először 2023 novemberében fedtek fel egy TA402 művelet részeként.

A kémkedés mellett a WIRTE a közelmúltban legalább két hullámban is részt vett Izrael elleni zavaró támadásokban. Egyedi kódátfedések felfedik a kapcsolatot a csoport egyedi kártevője és egy egyedi wiper, a SameCoin között, amelyet két hullámban, 2024 februárjában és októberében telepítettek. A Hamászhoz köthető más fenyegetésekkel, például a SysJokerrel ellentétben a WIRTE tevékenysége a gázai háború alatt is fennmaradt. A csoport folyamatos tevékenysége egyrészt erősíti a Hamászhoz való kötődését, másrészt viszont megnehezíti e tevékenység kifejezetten a Gázai övezethez való földrajzi hozzárendelését. A Check Point Research (CPR) 2024. november 12-i bejegyzésében feltárja a WIRTE 2024-es tevékenységét, technikai elemzést nyújt a csoport kampányairól, és összekapcsolja a csoport tevékenységét annak korábbi tevékenységével. Bár a WIRTE eszközei a csoport megjelenése óta fejlődtek, műveleteik kulcsfontosságú aspektusai következetesek maradtak: domain-elnevezési konvenciók, HTML-tag-eken keresztüli kommunikáció, meghatározott user agent-ekre korlátozott válaszok, valamint a legitim webhelyekre való átirányítás.

Forrás