HackerNews 编译，转载请注明出处： 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档，入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织（其称为“灰兔”）的报告。该公司发言人向新闻媒体表示，基于多年来对该组织活动的分析，他们将其归属于哈马斯，称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出，该组织近期活动涉及一种名为AshTag的新型恶意软件，使其得以从中东多国关键实体窃取信息。报告称，自2020年以来，“灰兔”组织的攻击手段日益复杂，发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少，“灰兔”组织却持续活跃，甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年，在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系，研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件，引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性，采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中，该组织利用恶意软件入侵受害系统后，直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示：“‘灰兔’组织仍是持续活跃的间谍行为体，其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来，该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动，并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

哈马斯与以色列的冲突已经爆发一年多了，两大实体之间的网络战仍在继续，其中涉及各种各样的网络攻击者，并借鉴了其他全球冲突的剧本。 以下是此次网络战争期间的一些重大发展以及可以预期在 2025 年看到的形势。 初始阶段 哈马斯对以色列发动袭击后不久，十多个威胁组织宣布准备对巴勒斯坦、以色列及其各自的支持者发动网络攻击。这些组织包括 Killnet、Anonymous Sudan、Team insane、Mysterious Team Bangladesh 和 Indian CyberForce。 在最初的日子里， 首批遭受网络攻击的受害者是耶路撒冷邮报，它遭到了Anonymous Sudan（匿名者苏丹）的攻击，以及特拉维夫索拉斯基医疗中心遭到西尔赫特团伙的攻击，最终导致其运营中断。 随着网络攻击的持续，  Krypton 网络向有意攻击以色列组织的黑客分子出售其分布式拒绝服务 (DDoS) 功能。 攻击也从另一边袭来，据报道，ThreatSec 攻击了巴勒斯坦互联网服务提供商 AlfaNet，导致该公司的服务器关闭，并在此过程中控制了加沙 5,000 多台服务器。 随后，在 X 上的第一篇帖子中，亲以色列的黑客组织 Predatory Sparrow 再次出现在人们的视野中。 该组织对其追随者说：“你觉得这很可怕吗？我们回来了。我们希望你们关注加沙事件。”——并附上了一份关于美国派遣战斗机和军舰支持以色列的报道链接。 全球范围的网络战 冲突开始后大约一个月，美国联邦调查局局长克里斯托弗·雷 (Christopher Wray) 警告称，中东战争增加了针对美国的网络攻击威胁，并指出针对美国海外军事基地的袭击有所增加，预计未来将出现物理攻击和网络攻击。 联邦调查局再次发出警告，这次警告涉及网络犯罪分子伪装成筹款人和慈善机构，通过电子邮件、社交媒体、电话和众筹网站联系个人，所有这些都是为了让受害者相信他们的加密货币资金将流向以色列或巴勒斯坦受害者。 Netcraft 的一份报告追踪到这些虚假账户中有 160 万美元的加密货币，这是他们影响力的一次盛大展示。 到 2023 年底，以色列公司 CyTaka 雇佣了来自世界各地的网络黑客网络来对抗反以色列的在线活动，而被称为加沙网络帮 (Gaza Cybergang) 的网络攻击者则使用了Pierogi++ 后门恶意软件的变种来攻击巴勒斯坦和以色列目标。 年度回顾 去年年初，土耳其黑客在特拉维夫一家客流量很大的电影院里传播有关以色列和加沙冲突的政治暴力信息。 7 月，以色列陆军参谋长报告称，自冲突开始以来，已挫败约 30 亿次网络攻击 。针对以色列国防军 (IDF) 的网络攻击包括针对军队运作所必需的操作系统，但并未提供有关攻击性质的详细信息。 随后在 10 月，安全公司 ESET 报告了一起影响其以色列合作伙伴公司的 “安全事件”。该公司称，有一起恶意电子邮件活动已被拦截，并最终否认其系统存在任何真正的危害。 就在上个月，有报道称支持哈马斯及其议程的高级持续性威胁 (APT)“Wirte”正在对中东各国政府进行间谍活动 ，并对以色列进行擦除器攻击。 该 APT 使用包含文档、合法资源和恶意软件的网络钓鱼攻击，有时使用 IronWind 加载程序，该加载程序采用多阶段感染链来投放恶意负载。 未来展望 观察人士和业内专家预计，2025 年还会出现更多类似的情况。冲突加剧了网络威胁，国家背景的黑客组织和自发黑客团体会继续利用全球紧张局势。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 在发给 Dark Reading 的电子邮件声明中表示：“我们可以预见复杂的网络钓鱼活动、虚假信息和对关键基础设施的攻击将会升级。”“组织应该优先考虑实时威胁情报和先进的人工智能检测系统，以保持领先于不断发展的策略。” 此外，他建议各组织做好强有力的员工培训，并实施多层次的安全措施，以减轻未来的攻击。 Kowski 补充道：“这对于防御预计将激增的社会工程学和有针对性的恶意软件攻击至关重要。” Bambenek Consulting 总裁约翰·巴姆贝内克 (John Bambenek) 则持不同看法。巴姆贝内克在发给 Dark Reading 的电子邮件声明中表示：“目前，哈马斯遭受了巨大损失，他们更注重生存，甚至在网络领域的能力也大大减弱。” 他认为，2025 年，人们的注意力应该集中在伊朗身上，因为伊朗是这场冲突中的主要力量。 “如果最近的报道属实，以色列正在考虑在短期内对伊朗进行军事打击，那么这很可能很容易升级为网络战。”他说。“  Team82 最近的研究表明，如果事态升级，伊朗政府已经决定进行实地测试，并预先部署广泛发动 ICS/OT 攻击的能力，而这些攻击很可能包括美国和欧洲。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/izjiorVaHiRLNaGFNGV_ow 封面来源于网络，如有侵权请联系删除

据The Hack News消息，与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。 Check Point 在一份分析中表示，该活动与一个名为 WIRTE 的组织有关，该组织最近至少进行了两波针对以色列的破坏性攻击。 WIRTE 是中东高级持续威胁 （APT） 的绰号，首先由西班牙网络安全公司 S2 Grupo 发现。该组织至少自 2018 年 8 月以来就一直活跃，主要针对该地区的广泛实体发动攻击，活动范围包括巴勒斯坦、约旦、伊拉克、沙特阿拉伯和埃及。 Check Point表示，该组织的活动在整个加沙战争期间一直存在，一方面，它的持续活动加强了与哈马斯的联系，另一方面又使这项活动的地理归属变得特别复杂。 WIRTE 在 2024 年的活动被发现利用中东的地缘政治紧张局势和战乱来制作恶意RAR文档，从而部署 Havoc 后期开发框架。 在 2024 年 9 月之前观察到的替代链利用类似的 RAR 文档部署 IronWind 下载器。这两种感染序列利用向受害者传播带有欺骗性的 PDF 文档，使用合法的可执行文件来侧载带有恶意软件的 DLL。 在 2024 年 10 月观察到针对医院和市政当局等多个以色列组织的网络钓鱼活动中，钓鱼电子邮件甚至显示从网络安全公司 ESET 在以色列的合作商发出，其中包含新创建的SameCoin Wiper 版本，该版本也曾在今年早些时候针对以色列的攻击中部署。 除了用随机字节覆盖文件外，最新版本的 SameCoin 擦除器还会修改受害者系统的背景，以显示带有哈马斯军事分支 Al-Qassam Brigades 名称的图像。SameCoin 是一种以安全更新为幌子分发的定制擦除器，于 2024 年 2 月被发现，被哈马斯附属的攻击者用来破坏 Windows 和 Android 设备。 据 HarfangLab 称，Windows 加载程序样本（“INCD-SecurityUpdate-FEB24.exe”）的时间戳被更改为 2023 年 10 月 7 日，即哈马斯对以色列发动突然攻势的日期。而初始访问媒介据信是一封冒充以色列国家网络局 （INCD） 的电子邮件。 “尽管中东冲突持续，但该组织坚持开展多项活动，展示了一个多功能工具包，其中包括用于间谍和破坏活动的擦除器、后门和网络钓鱼页面，”Check Point 在报告中总结道。       转自Freebuf，原文链接：https://www.freebuf.com/news/415238.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

Hackernews 编译，转载请注明出处： 在以色列与哈马斯的致命战争中，成千上万的平民丧生，而骗子正利用这次战争事件冒充合法慈善机构来募捐资金。在X（即Twitter）、Telegram和Instagram的一些帖子上，骗子列出了可疑的加密货币钱包地址，引诱受害者将资金发送给他们。 研究人员还发现了500多封声称自己是慈善机构的“筹款”电子邮件。 以色列与哈马斯战争中，加密骗局浮出水面 X、Telegram和Instagram等社交平台上出现了一批账户，吸引人们捐款以支持中东危机中的受害者。然而，这些账户主要列出加密钱包地址，来源可疑，未经官方慈善机构认可，很可能是骗局。 与之前报道的加密捐款诈骗类似，在俄乌战争期间和土耳其地震后，这些账户通过发布伤兵、妇女和儿童受伤的血腥图片来刺激读者的情感。X上一个名为“加沙救援援助”的账户，使用aidgaza.xyz域名，并且在Telegram和Instagram上也存在： 加沙救援援助Twitter账户 与该账户相关的aidgaza.xyz域名于10月15日注册，并没有得到任何知名慈善组织的认可，这与页面页脚上列出的“伊斯兰救济倡议”的说法相反。然而，该网站的副本已从伊斯兰救济组织的官方网站上删除。值得注意的是，除了一些与以色列与哈马斯战争的“新闻稿”和受害者受伤的照片之外，该网站没有提供任何相关的电话和地址信息。 “援助加沙”网站和社交媒体账户声称提供人道援助 该账户的运营者在其网站和社交媒体账户上列出了他们的以太坊、比特币和USDT地址，用于收集捐款。 BTC：16gbXTmvxtrzieoh2vX3io7FhXK4WJryX2 ETH：0x5E8b0df880A9f9F6e4D4090a84b3c1A02fF311b4 USDT：TK4A9dfwqbJhzz4NeGJZBo9nVMJztxnT27 “援助加沙”支持页面列出了比特币、以太坊、USDT钱包地址 幸运的是，目前还没有人向这些地址发送捐款。我们还观察到Instagram账户@gazareliefaid 已经无法使用，可能是被Meta (Instagram的母公司)封号了。 一些社交媒体帖子显示，有第三方表示他们捐赠了资金，而募捐者确认已经收到了资金，但钱包历史显示并非如此。这很可能是该账户采用的策略，以增加其诈骗可信度。 另一方面，声称支持以色列和以色列受害者的可疑账户也在传播。例如，X上有一个“为以色列捐款”的账户。关联的加密钱包地址(0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd)再次显示零交易，与X账户相关的一些数据使人们对其真实性产生怀疑。必须注意的是，这里显示的示例账户都没有经过真实性验证，因此用户遇到类似情况时应谨慎处理。 虚假筹款电子邮件冒充慈善机构 网络安全公司卡巴斯基（Kaspersky）研究人员报告称，他们发现了500多封诈骗电子邮件，以及专门设计的诈骗网站。 这些诈骗电子邮件和网站使用的情感语言和图片，再次成为诱导用户访问诈骗网站的策略。网站支持便捷的资金转移，并接受各种加密货币：比特币、以太坊、泰达币和莱特币。 另外，我们追溯到一个egypthelp.online域名，网站标题为“帮助巴勒斯坦社会”。截止发文时，该网站无法访问。 虚假’egypthelp.online’网站寻求加密货币捐款 可疑的’帮助巴勒斯坦社会’网站 利用这些钱包地址，卡巴斯基专家发现了其他诈骗网站，声称要为冲突地区的各种其他团体筹集援助。 “在这些电子邮件中，骗子试图创建多个文本变体以逃避垃圾邮件过滤器，”卡巴斯基的研究人员表示，“例如，他们使用各种呼吁捐款的短语，如‘我们呼吁您的同情和仁慈’或‘我们呼吁您的同情和慷慨’，并用同义词替换词语，如‘帮助’替换为‘支持’、‘援助’等。此外，他们更改链接和发件人地址。” 卡巴斯基的研究人员警告称，只要修改设计并针对特定人群，这类诈骗网站就能迅速增加。 如何安全捐赠？ 为了避免受骗，在捐款前应仔细审查网页。虚假网站通常缺乏有关慈善组织和受益者的基本信息、合法性文件或关于资金使用的透明度。 美国联邦贸易委员会（FTC）的高级律师拉里萨·邦戈（Larissa Bungo）分享了一些可防止受骗的建议。其中之一是研究寻求捐款的组织： “研究组织——特别是如果捐款请求来自社交媒体。搜索名称加‘投诉’、‘评论’、‘评级’或‘欺诈’，并通过查看Better Business Bureau（BBB）的智慧捐赠联盟、慈善组织导航器、慈善组织监察或Candid等组织对慈善机构进行检查。如果信息来自朋友，请问他们是否自己了解这个组织。查明捐赠的每一美元有多少直接用于慈善机构的受益人。” 美国国内税收局（IRS）发出了类似的警告，提醒人们“不要屈服于压力”。 英国政府发布了如何安全捐赠的指南，包括列出了联合国巴勒斯坦难民和工程局（UNRWA）和英国红十字会等合法慈善机构的名单。这些慈善组织的合法性可以通过访问政府的慈善注册处来验证。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene