#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Rapid7 выявила продолжающуюся вредоносную кампанию с использованием нового варианта LodaRAT, инструмента удаленного доступа (RAT), способного красть учетные данные из таких браузеров, как Microsoft Edge и Brave. Кампания развивалась с течением времени, менялись методы распространения и цели, что создавало серьезную угрозу из-за адаптивности вредоносного ПО и его стойкости в сфере кибербезопасности.
-----

Rapid7 обнаружил продолжающуюся вредоносную кампанию с использованием нового варианта LodaRAT, способного красть файлы cookie и пароли из браузеров Microsoft Edge и Brave.

LodaRAT развивается, и с 2021 года выходит версия для Android, но в настоящее время основное внимание уделяется версии для Windows.

Новые версии LodaRAT распространяются через DonutLoader и CobaltStrike.

Образцы LodaRAT предназначены для того, чтобы выдавать себя за законное программное обеспечение Windows, такое как Discord, Skype и Центр обновления Windows.

Последняя кампания заражает жертв по всему миру, и около 30% образцов VirusTotal загружено из США.

Сдвиг в поведении в сторону глобального распространения указывает на то, что в этом может быть замешана другая хакерская группа.

Исходный код LodaRAT, скомпилированный в AutoIt, легко извлекается и настраивается хакерами.

Возможности LodaRAT включают в себя фильтрацию данных, захват экрана, управление камерой и мышью, а также взаимодействие с сервером C2.

Несмотря на минимальные обновления, LodaRAT остается серьезной угрозой из-за своей эффективности в краже учетных данных, что подчеркивает важность того, чтобы не недооценивать постоянные угрозы, подобные LodaRAT, в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
13-11-2024

APT Actors Embed Malware within macOS Flutter Applications

https://www.jamf.com/blog/jamf-threat-labs-apt-actors-embed-malware-within-macos-flutter-applications

Report completeness: Medium

Threats:
Applescript

Geo:
North korea, Dprk, Korea

ChatGPT TTPs:
do not use without manual check
T1203, T1064, T1105

IOCs:
Hash: 18
Domain: 1
File: 16
Url: 1
IP: 1

Soft:
macOS Flutter, Flutter, macOS, Android,

Crypto:
solana

Algorithms:
gzip, zip

Functions:
update

Languages:
php, python, golang

Platforms:
arm, cross-platform, x86, apple

Links:
https://github.com/recepsenoglu/minesweeper

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Лаборатория Jamf Threat Labs обнаружила вредоносное ПО, связанное с Северной Кореей, использующее Flutter для сокрытия своего вредоносного кода. Несмотря на кажущуюся чистоту, вредоносное ПО имеет сходство с разработками КНДР и прошло процедуру нотариального заверения Apple. Его назначение остается неясным, возможно, оно предназначено для атак или тестирования новых методов доставки. Вредоносное ПО принимало различные формы, включая вариант на Golang и вариант на Python, которые способны удаленно выполнять код с использованием AppleScript. Это открытие свидетельствует о намерении злоумышленника использовать собственные инструменты, такие как AppleScript, что указывает на этап тестирования для повышения эффективности использования и потенциального обхода методов обнаружения.
-----

Лаборатория Jamf Threat Labs недавно обнаружила образцы вредоносного ПО, связанные с Северной Кореей, разработанные с использованием Flutter для маскировки вредоносного кода. Это открытие вызывает опасения, поскольку вредоносное ПО оказалось чистым, несмотря на то, что оно было вредоносным. Вредоносное ПО имеет сходство с другими разработками КНДР и прошло процедуру нотариального заверения Apple. Его назначение остается неясным, а возможности варьируются от подготовки к атакам до тестирования новых методов доставки.

Вредоносная программа принимала различные формы: вариант на Go, вариант на Python, использующий Py2App, и приложение, созданное на основе Flutter, причем последнее было в центре внимания из-за его сложных методов обфускации. Приложения, созданные с помощью Flutter, считались полезными на первом этапе, при первоначальном выявлении шести зараженных приложений, пять из которых были подписаны с помощью учетной записи разработчика, позже отозванной Apple. Примечательно, что сетевые запросы были сделаны к домену, ранее связанному с вредоносным ПО КНДР, что указывает на потенциальную связь.

Дальнейший анализ выявил интригующие подробности о функциональности вредоносного ПО. Строки в dylib указывали на поддержку домена и пользовательского агента, а также выполнение AppleScript с помощью osascript. Тестирование показало, что вредоносная программа может запускать код AppleScript, полученный с удаленного сервера, что потенциально может привести к вредоносным действиям в системах macOS. Наличие таких возможностей указывает на намерение злоумышленника адаптировать и использовать собственные инструменты, такие как AppleScript, в своих кампаниях.

Кроме того, был идентифицирован вариант Golang под названием "Новая эра для стабильных монет и DeFi, CeFi (защищенный).app" и вариант Python, упакованный с Py2App. Оба варианта демонстрировали схожие возможности удаленного выполнения кода с использованием AppleScript, демонстрируя способность хакера адаптироваться к различным языкам программирования.

В сообщении в блоге высказывается предположение, что вредоносная программа, возможно, находится на стадии тестирования для дальнейшего использования в качестве оружия, учитывая опыт хакеров в применении сложных тактик социальной инженерии. Несоответствие между безобидным внешним видом приложений, созданных на основе Flutter, и лежащим в их основе вредоносным контентом позволяет предположить возможность уклонения от обнаружения как с серверов нотариального заверения, так и с антивирусного программного обеспечения. Хотя вредоносное ПО, встроенное в приложения на базе Flutter, не является чем-то необычным, этот инцидент знаменует собой первую замеченную попытку этого конкретного субъекта атаковать устройства macOS с помощью таких средств.

#ParsedReport #CompletenessHigh
13-11-2024

Tracking the recent activities of the Golden Eyed Dog Gang

https://www.ctfiot.com/215073.html

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Miuuti
Silver_fox

Threats:
Winos
Teamviewer_tool
Todesk_tool
Watering_hole_technique
Gh0st_rat
Process_injection_technique
Upx_tool
Xmrig_miner
Raindrop_tool

Industry:
Entertainment, Education

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1505, T1189, T1059, T1055, T1027, T1547, T1566

IOCs:
Domain: 2
Hash: 4
File: 3
IP: 50
Url: 1

Soft:
Telegram, Sogou, Opera, Chrome, TradingView, Windows Defender, WeChat

Algorithms:
xor

Win API:
ZwCreateThreadEx

Languages:
delphi

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Деятельность атакующей группы Golden Eye Dog, нацеленной на игровую индустрию, включает в себя использование уязвимостей нулевого дня, использование различных языков для разработки вредоносных программ, распространение вредоносных программ через поддельные веб-сайты для загрузки программного обеспечения и внедрение троянов с удаленным управлением. Они также занимаются майнингом и DDoS-атаками, в первую очередь на игорную индустрию и смежные отрасли. Деятельность группы расширилась, охватив такие отрасли, как образование, интернет-услуги, ценные бумаги, производство и услуги по разработке программного обеспечения для ИТ, что подчеркивает необходимость усиления мер кибербезопасности в Китае.
-----

В тексте обсуждается деятельность группы Golden Eye Dog, нацеленной на игровую индустрию. Эта группа имеет сложную структуру и высокую мобильность, потенциально пересекается с известными организациями и действует с 2015 года. Они используют многочисленные уязвимости нулевого дня в программном обеспечении для связи. Сфера деятельности банды включает в себя дистанционное управление, майнинг, DDoS-атаки и деятельность, связанную с трафиком. Начиная с 2022 года, группа часто совершает внутренние атаки, что было обнаружено с помощью анализа радиолокационного картирования угроз QiAnXin.

Golden Eye Dog использует различные языки, такие как .NET, C++, Go и Delphi, для разработки вредоносных программ. Они часто используют поддельные веб-сайты для загрузки программного обеспечения для распространения вредоносных программ и внедрения троянских программ на устройства жертв. Эти поддельные веб-сайты оптимизированы для ранжирования в поисковых системах с помощью методов SEO, что делает их весьма эффективными в привлечении жертв к загрузке и установке вредоносных программ. Основными объектами их атак являются игорная индустрия и смежные отрасли.

Для своих атак группа использует различные троянские программы с дистанционным управлением, такие как Silver Fox и Winos. Они используют веб-сайты-убежища, на которых размещаются пакеты для установки вредоносных программ, и которые служат маскировкой для их вредоносных действий. Используя названия программ или нестандартные коды, они распознают различные вредоносные программы на этих веб-сайтах-источниках. Эти сайты имеют высокий рейтинг в поисковых системах, что еще больше увеличивает вероятность того, что жертвы неосознанно загрузят вредоносное ПО.

В тексте описаны конкретные образцы вредоносных программ и методы атак, используемые Golden Eye Dog в последние годы. Например, они используют трояны, замаскированные под популярные приложения, такие как Telegram и Aisi Assistant, для удаленного управления и достижения вредоносных целей. Эти трояны часто используют методы защиты от отладки и сложные процессы для заражения и сохранения в системах-жертвах.

Кроме того, было обнаружено, что группа внедряет троянские программы для майнинга, такие как вредоносное ПО XMRig, что указывает на более широкое внимание к незаконной добыче криптовалют наряду с их основными целями в игровой индустрии и мошенничестве. Атаки группы были широко распространены, затрагивая отрасли, выходящие за рамки их основных целей, из-за распространения контрафактного программного обеспечения в различных секторах.

Анализ показывает, что с 2022 года Golden Eye Dog активно нацеливается на такие отрасли, как образование, интернет-услуги, ценные бумаги, производство и услуги по разработке программного обеспечения для ИТ. Их деятельность охватывает широкий спектр секторов, что представляет значительную угрозу для организаций в Китае. Благодаря телеметрическим данным и расследованиям APT-атак эта группа была признана одной из самых активных хакерских группировок в регионе, что подчеркивает необходимость усиления мер кибербезопасности в различных отраслях.

#ParsedReport #CompletenessMedium
13-11-2024

The Elusive GoblinRAT - The Story Behind the Most Secretive and Mysterious Linux Backdoor Found in Government Infrastructures

https://rt-solar.ru/solar-4rays/blog/4861/

Report completeness: Medium

Threats:
Goblinrat
Zabbix_agent_tool
Pacemaker
Bpfdoor
Netstat_tool
Portproxy_tool
Gobfuscate_tool
Garble_tool
Secretsdump_tool

Victims:
It company, Government agencies, Various companies, Public sector organizations

Industry:
Government

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1003, T1070.004, T1036.004, T1027, T1140

IOCs:
File: 10
IP: 10
Domain: 10
Hash: 14

Soft:
Linux, Zabbix, curl, systemd, crontab

Algorithms:
aes, sha1, md5, sha256, base64, zip, xor

Languages:
python, golang

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/volatilityfoundation/volatility3/blob/develop/volatility3/framework/plugins/linux/psaux.py
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/armon/go-socks5
have more...
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/hashicorp/yamux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном анализе вредоносного ПО GoblinRAT, обнаруженного в 2023 году, демонстрирующем его скрытую тактику, уникальные особенности, методы коммуникации, методы сохранения, функциональность, цель проведения скрытого кибершпионажа и квалифицированных хакеров, стоящих за его разработкой и внедрением. Расследование выявило сложную конструкцию вредоносного ПО, ручной характер атак и необходимость сотрудничества в рамках сообщества кибербезопасности для понимания и расшифровки его происхождения и мотивов.
-----

Весной 2023 года сотрудники одной из IT-компаний в России обнаружили сброс пользовательских хэшей с контроллера домена, выполненный с помощью утилиты "impacket-secretsdump" на хостинге Linux. Впоследствии логи этого хостинга были удалены, что побудило команду Solar 4RAYS подключиться к расследованию. Обнаруженная вредоносная программа под названием GoblinRAT использовалась в ходе скрытых атак, которые продолжались более двух лет и заражали инфраструктуру компаний, обслуживающих правительственные организации. Уникальной особенностью GoblinRAT была его способность эффективно скрывать свое присутствие в системе.

Вредоносная программа взаимодействовала со своим центром управления (C2), используя взломанные веб-сайты законных организаций и DDN, при этом каждый исполняемый файл содержал уникальный адрес. Злоумышленники использовали отличительные имена для задач, файлов и служб планировщика, чтобы внедриться на зараженные хосты. Хотя GoblinRAT был обнаружен еще в 2020 году, он не был широко распространен и не был найден на общедоступных информационных платформах об угрозах.

GoblinRAT использовал различные методы сохранения данных, адаптированные к серверным средам, чтобы избежать несанкционированного доступа. Например, он имитировал легальные сервисы, такие как Red Hat subscription manager, или названия утилит, такие как memcached, чтобы не выделяться. Злоумышленники были хорошо подготовлены, создав доменные имена, аналогичные запущенным сервисам для C2 communication. Тщательная разведка местности гоблинратами позволяла им эффективно прятаться.

Вредоносная программа, написанная на Golang, обладала функциональностью для удаленного доступа, работы с файловой системой, проксирования и имитации имени процесса. В серверной версии для скрытой работы она использовала выборку портов, ожидая определенных последовательностей портов для установления соединений. В GoblinRAT были представлены механизмы самоуничтожения, изменения названия процесса и обфускации с использованием инструмента Gobfuscate для уклонения от анализа.

Расследование выявило цель GoblinRAT в проведении скрытого кибершпионажа, нацеленного на тщательно отобранные инфраструктуры, с целью, вероятно, получения конфиденциальной информации от правительственных учреждений и их подрядчиков. Атаки проводились вручную, что свидетельствует о высоком уровне знаний в области Linux и сетевых коммуникаций. Примечательно, что GoblinRAT был разработан не для автоматического сохранения данных, а для того, чтобы помочь злоумышленникам оставаться незамеченными в системах.

Сложность и изощренность GoblinRAT указывают на участие опытных хакеров, заинтересованных в конкретных целях. Происхождение и мотивы операторов остаются неясными, что побуждает сообщество кибербезопасности сотрудничать в расшифровке этих аспектов. Вредоносная программа, связанная с GoblinRAT, получила обозначение NGC2140 и представляет собой сложную целенаправленную атаку, требующую глубоких знаний и времени для выполнения.

#ParsedReport #CompletenessLow
13-11-2024

CERT-AGIDComputer Emergency Response Team AGID. Study of a new Formbook campaign active in Italy

https://cert-agid.gov.it/news/studio-di-una-nuova-campagna-formbook-attiva-in-italia/

Report completeness: Low

Threats:
Formbook

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1566, T1027

Algorithms:
aes, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Кампания malspam на итальянском языке, распространяющая вредоносное ПО Formbook, известное своими возможностями для кражи информации, активно нацелена на частных лиц и организации в Италии, создавая серьезную угрозу, которая требует незамедлительного внимания и принятия мер безопасности для снижения рисков.
-----

**Название: Кампания вредоносного спама на итальянском языке, распространяющая вредоносное ПО Formbook **.

В Италии была выявлена активная кампания по рассылке вредоносного спама (malspam), составленная на точном итальянском языке. Основная цель этой кампании - скомпрометировать ничего не подозревающих жертв с помощью печально известного вредоносного ПО Formbook, широко известного своими возможностями кражи информации.

Злоумышленники, стоящие за этой кампанией, создали соответствующий исполняемый файл в .NET, который обычно используется для загрузчиков, связанных с Formbook. Такие исполняемые файлы, предназначенные для нанесения ущерба системе жертвы, обычно приводят к установке и запуску Formbook.

Formbook, известная разновидность вредоносного ПО, присутствующая в финализированном файле, полученном в результате этой операции, представляет значительную угрозу из-за своих функций infostealer. Анализ сгенерированной вредоносной полезной нагрузки указывает на относительно простую структуру, соответствующую предыдущим версиям загрузчиков, используемых совместно с Formbook.

Кампания по распространению вредоносной рассылки активно распространяется в различных регионах Италии, используя лингвистические нюансы итальянского языка, чтобы потенциально повысить доверие к ней и заставить получателей взаимодействовать с вредоносным контентом. Использование грамотного итальянского текста еще больше повышает эффективность кампании в отношении отдельных лиц внутри страны.

Учитывая сложность Formbook и его исторический успех в области сбора данных, текущая кампания представляет значительный риск как для частных лиц, так и для организаций в Италии. Наличие возможностей infostealer в Formbook подчеркивает необходимость оперативного и эффективного устранения этой угрозы.

Организациям и частным лицам рекомендуется проявлять осторожность при работе с нежелательными электронными письмами или вложениями, особенно с материалами на итальянском языке. Внедрение надежных мер безопасности электронной почты, включая спам-фильтры и решения для анализа угроз, может помочь снизить риск стать жертвой таких вредоносных кампаний.

#ParsedReport #CompletenessLow
13-11-2024

Malicious apps on Google Play: how attackers use DNS protocol for hidden communication of Trojans with control servers

https://news.drweb.ru/show/?i=14935&lng=ru&c=5

Report completeness: Low

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1071, T1001

IOCs:
Url: 1
File: 1

Soft:
Android, Linux

Algorithms:
base64, gzip

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.FakeApp.1669/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об Android.Трояны FakeApp, особенно ориентированные на Android.FakeApp.1669, который перенаправляет пользователей на нежелательные веб-сайты, получая команды от вредоносного DNS-сервера. Эти троянские программы распространяются в Google Play Store под видом законных приложений и могут извлекать определенные конфигурации, адаптированные к конкретным вариантам, на основе информации о зараженном устройстве. Троянец способен отображать контент с различных веб-сайтов, таких как сайты онлайн-казино, вместо ожидаемой функциональности. Dr.Web Security Space эффективно обнаруживает и удаляет известные версии этого троянца.
-----

Андроид.Трояны FakeApp - это тип вредоносного программного обеспечения, которое в основном перенаправляет пользователей на нежелательные веб-сайты. Эти трояны относительно просты в техническом плане, поскольку обычно они получают команды для открытия определенных веб-адресов. Одним из ярких примеров такого типа троянских программ является Android.FakeApp.1669, который отличается использованием модифицированной библиотеки dnsjava для получения настроек конфигурации с вредоносного DNS-сервера. Этот троянец специально выбирает свою конфигурацию при подключении к Интернету через определенных провайдеров, таких как мобильные сети передачи данных.

Андроид.FakeApp.1669 распространяется в различных формах, часто под видом законных приложений, доступных в Google Play Store. Из официального магазина приложений для Android его скачали более 2,1 миллиона раз. После запуска троянец отправляет DNS-запрос на сервер управления, чтобы получить текстовую запись, связанную с именем целевого домена. Сервер предоставляет эту запись, содержащую закодированные конфигурации для вредоносного ПО, только если зараженное устройство подключено через определенных провайдеров.

Каждая модификация Android.FakeApp.1669 привязана к определенным доменным именам, что позволяет DNS-серверу предоставлять конфигурации, адаптированные к индивидуальным вариантам. Названия поддоменов в целевых доменах кодируют информацию о зараженном устройстве, включая модель устройства, размеры экрана, время установки, состояние батареи и настройки разработчика. Троянец загружает ссылку в WebView, отображая контент с различных веб-сайтов, часто ведущий на сайты онлайн-казино вместо ожидаемой функциональности, рекламируемой на странице Google Play.

При работе без необходимого сетевого подключения или в автономном режиме Android.FakeApp.1669 может функционировать как обычная программа, если разработчики предусмотрели такую функциональность. Примечательно, что Dr.Web Security Space эффективно обнаруживает и удаляет известные версии этого троянца, снижая угрозу для пользователей.

#ParsedReport #CompletenessHigh
12-11-2024

Hamas-affiliated Threat Actor WIRTE Continues its Middle East Operations and Moves to Disruptive Activity. Conclusion

https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-expands-to-disruptive-activity

Report completeness: High

Actors/Campaigns:
Wirte (motivation: propaganda, sabotage, cyber_espionage, politically_motivated)
Molerats (motivation: cyber_espionage)

Threats:
Ransom.win.honey
Blackguard_stealer
Samecoin
Ironwind
Sysjoker
Dll_sideloading_technique
Havoc
Donut
Tasks_spreader

Victims:
Palestinian authority, Jordan, Iraq, Egypt, Saudi arabia, Israel

Industry:
Healthcare, Financial, Military

Geo:
Middle east, Palestinian, Lebanon, Israeli, Iran, Saudi arabia, Israel, Iraq, Beirut, Iranian, Egypt, Jordan

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1027, T1566, T1055, T1107, T1059, T1053, T1204, T1070, have more...

IOCs:
Hash: 37
Domain: 32
IP: 23
Url: 3
File: 18

Soft:
Active Directory, Android, Windows Defender

Wallets:
harmony_wallet

Algorithms:
xor, base64, zip, sha256

Win API:
RtlIpv4StringToAddressA

Languages:
powershell

Links:
https://github.com/HavocFramework/Havoc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 4, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ деятельности, тактики и инструментов, используемых группой WIRTE APT (АПТ), с акцентом на их кибершпионаже и подрывных операциях, направленных в первую очередь против организаций на Ближнем Востоке, имеющих тесные связи с ХАМАСОМ, и последовательной эволюции их инструментов и тактики на протяжении многих лет. время.
-----

В тексте дается подробное представление о деятельности, тактике и инструментах, примененных группой WIRTE APT (APTП) за прошедший год. Несмотря на продолжающиеся конфликты на Ближнем Востоке, WIRTE продолжает свою деятельность, демонстрируя универсальный инструментарий, который включает в себя "очистители", бэкдоры и фишинговые страницы, используемые как для шпионажа, так и для саботажа. Группа продемонстрировала постоянную приверженность таким тактикам, как фильтрация пользовательских агентов, создание полезной нагрузки с помощью HTML-тегов, перенаправление на новостные сайты и поддержание согласованного стиля инфраструктуры.

Группа WIRTE работает по меньшей мере с 2018 года и известна прежде всего тем, что занимается политически мотивированным кибершпионажем, уделяя особое внимание сбору разведданных, связанных с региональными геополитическими конфликтами. Есть веские основания полагать, что WIRTE тесно связана с ХАМАСОМ, основываясь на истории их деятельности и схемах, напоминающих деятельность ХАМАСА. На фоне продолжающегося конфликта в регионе группировка нацелилась на организации на Ближнем Востоке, включая Палестинскую автономию, Иорданию, Ирак, Египет и Саудовскую Аравию.

Исследование Check Point выявило четкую связь между пользовательским вредоносным ПО, используемым WIRTE, и SameCoin, вредоносной программой-очистителем, которая двумя волнами атаковала израильские компании в феврале и октябре 2024 года. Несмотря на эволюцию своих инструментов, WIRTE сохранила такие ключевые аспекты своей деятельности, как соглашения об именовании доменов, взаимодействие с помощью HTML-тегов, ответы, ограниченные конкретными пользовательскими агентами, и перенаправление на законные веб-сайты.

Недавний анализ показал, что WIRTE расширила свою деятельность за пределы шпионажа, включив в нее подрывные атаки. Группа использовала такие инструменты, как IronWind, которые были обнаружены в ходе кампании, нацеленной на организации на Ближнем Востоке и связанной с операциями TA402. WIRTE участвовала в подрывных атаках на Израиль, внедряя пользовательское вредоносное ПО, интегрированное с уникальными функциями шифрования и использованием отдельных строк пользовательского агента для каждого образца.

Помимо проведения деструктивных атак, WIRTE также использовала фишинговые страницы, созданные для имитации законных сервисов, таких как Docdroid, в целях обмана. Кампании группы демонстрируют постоянное внимание к различным организациям по всему Ближнему Востоку, с особым упором на Палестинскую автономию, Иорданию и Израиль. Жертвы группы WIRTE тесно связаны с интересами ХАМАСА, подчеркивая исторические связи между двумя организациями и общие цели, связанные с палестинскими проблемами.

Более того, WIRTE использовала множество обманчивых приманок, эксплуатирующих региональные конфликты, а в недавних кампаниях для злонамеренных действий использовались такие инструменты, как IronWind. Деятельность группировки продолжалась на протяжении всех продолжающихся конфликтов на Ближнем Востоке, демонстрируя сочетание шпионажа и подрывных операций в соответствии с целями ХАМАСА. Постоянный мониторинг и анализ, проводимый исследователями в области кибербезопасности, продолжают выявлять эволюционирующие тактики и стратегии, используемые группой WIRTE APT в киберпространстве.