Campanhas atribuídas ao grupo combinam iscas em árabe, carregadores personalizados, phishing e wipers com validação geográfica para separar espionagem no Oriente Médio de sabotagem contra alvos israelenses.
| Componente | Campanhas do WIRTE envolvendo o carregador IronWind, DLLs como version.dll e propsys.dll, o agente Havoc Demon e o wiper SameCoin para Windows e Android. |
| Vetor | Arquivos RAR, ZIP e PDF usados como iscas políticas ou de segurança, com execução de binário legítimo para DLL-Sideloading, URLs encurtadas e e-mails de phishing enviados a organizações israelenses. |
| Impacto | Espionagem contra entidades da Autoridade Palestina, Jordânia, Egito e Arábia Saudita, além de ondas destrutivas contra Israel com sobrescrita ou apagamento de arquivos em variantes do SameCoin. |
| Prioridade | Bloquear e investigar os artefatos citados, caçar carregamento suspeito de DLLs, revisar anexos compactados com nomes de iscas regionais e isolar endpoints que executaram Setup.exe, version.dll, propsys.dll ou APKs falsos de atualização de segurança. |
| Artefatos | setup_wm.exe, version.dll, propsys.dll, Setup.exe, MicrosoftEdge.exe, exit-DN4-core.dll, INCD-SecurityUpdate-FEB24.apk, libexampleone.so, ESETUnleashed_081024.zip e PDF com SHA-256 b7c5af2d7e1eb7651b1fe3a224121d3461f3473d081990c02ef8ab4ace13f785. |
| IoCs | theshortner[.]com/fxT1j, master-dental[.]com, requestinspector.com, suppertools[.]com e healthscratches[.]com aparecem associados a encurtamento, comando e controle, notificação de vítima ou páginas de phishing. |
O WIRTE permanece ativo como um grupo APT do Oriente Médio observado desde pelo menos 2018, com foco histórico em espionagem política e coleta de inteligência ligada a disputas regionais. A atividade recente mantém esse eixo, mas acrescenta uma frente destrutiva contra Israel. A atribuição apresentada para o grupo é condicionada: ele é tratado como provavelmente conectado ao Hamas por sobreposição histórica com Gaza Cybergang, por alvos compatíveis com interesses políticos palestinos e por mensagens vistas em ataques destrutivos. Essa ligação não elimina a necessidade de separar evidência técnica de inferência, especialmente porque a continuidade operacional durante a guerra em Gaza também dificulta uma atribuição geográfica restrita à região.
A campanha monitorada desde o fim de 2023 usa o carregador personalizado IronWind e cadeias de infecção baseadas em iscas compactadas, documentos falsos e carregamento lateral de DLLs. A operação atinge principalmente entidades na Autoridade Palestina, Jordânia, Egito e Arábia Saudita, enquanto a atividade destrutiva descrita se concentra apenas em Israel. Essa divisão operacional é relevante para defesa: fora de Israel, os artefatos indicam coleta, preparação e possível acesso remoto; contra Israel, os componentes observados incluem wipers, conteúdo de propaganda e mecanismos de validação de localidade ou idioma.
Uma cadeia identificada em setembro começa com um PDF que exibe erro e embute a URL theshortner[.]com/fxT1j, apresentada como serviço de encurtamento. O redirecionamento leva a um RAR chamado RAR 1178 - بيروت - تطورات الحرب في لبنان2, uma isca em árabe relacionada à guerra no Líbano. O arquivo compactado contém três componentes montados para DLL-Sideloading: quando o executável legítimo é iniciado, a DLL propsys.dll é carregada no mesmo fluxo de execução. A partir daí, a execução se divide em duas threads e entrega uma etapa seguinte identificada como Havoc Demon, agente de um framework de pós-exploração configurado para comunicação com master-dental[.]com.
Em outras ocorrências desde outubro de 2023, o IronWind aparece como vetor inicial dentro de RARs com três arquivos: setup_wm.exe renomeado com uma isca em árabe sobre representantes militares e arquitetura de segurança regional, um PDF de distração e version.dll como primeira etapa maliciosa. O malware salva e abre o documento de isca via CMD, enquanto envia para requestinspector.com informações da vítima, incluindo versão do Office, versão do sistema operacional, nome do computador, nome de usuário e lista de programas. Em seguida, decodifica e descriptografa propsys.dll com Base64 e XOR usando a chave 53. O payload stagerx64 passa a enviar requisições HTTP ao C2 com um user agent fixo e procura payload criptografado dentro de tags HTML. O único estágio final identificado nesse trecho é um shellcode donut que carrega a DLL .NET exit-DN4-core.dll, cuja função observada é encerrar o processo, provavelmente como limpeza em máquinas que os operadores decidiram não explorar.
A frente destrutiva aparece em duas ondas com o SameCoin: uma em fevereiro de 2024 e outra em outubro de 2024. Em outubro, um e-mail malicioso enviado a partir de endereço legítimo de revendedor israelense da ESET mirou organizações israelenses, incluindo hospitais e municipalidades, e entregou ESETUnleashed_081024.zip. O arquivo contém quatro DLLs legítimas e o executável malicioso Setup.exe. Ao ser iniciado, Setup.exe tenta acessar oref.org.il, site do Comando da Frente Interna de Israel, e usa os primeiros bytes da resposta como chave XOR. Como o site só é acessível de dentro de Israel, a técnica também funciona como validação de alvo. Depois disso, o wiper enumera arquivos do sistema fora de diretórios protegidos, como Program Files, Windows e Users, e sobrescreve com bytes aleatórios arquivos cujos nomes não contenham desktop.ini ou conf.conf.
A superfície de maior risco para espionagem envolve usuários que recebem ou abrem arquivos compactados RAR com nomes políticos, militares ou administrativos em árabe, especialmente quando o pacote combina documento de isca com executável legítimo e DLL próxima ao binário. A técnica depende de execução local pelo usuário ou por algum fluxo que permita iniciar o executável empacotado, e não de uma vulnerabilidade nomeada no sistema operacional. Ambientes com controles fracos de execução em diretórios temporários, downloads ou anexos extraídos ficam mais expostos ao carregamento lateral de version.dll e propsys.dll.
Os alvos descritos incluem a Autoridade Palestina, Jordânia, Egito e Arábia Saudita na vertente de espionagem, com indícios adicionais relacionados a Iraque por nomes de arquivos, submissões e referências de domínio. As amostras foram submetidas de cidades como Ramallah, Bagdá e Amã, e a maior parte das URLs de phishing foi inicialmente submetida ao VirusTotal a partir da Jordânia. Na vertente destrutiva, o foco é israelense: os e-mails foram enviados a destinatários em Israel, os temas de propaganda miram o público israelense e as variantes do wiper validam localidade pelo acesso a oref.org.il ou por idioma hebraico no sistema.
A variante Windows anterior do SameCoin, associada a uma campanha de 24 de fevereiro que imitava o Diretório Nacional de Cibersegurança de Israel, verifica se o idioma do sistema está configurado para hebraico antes de soltar quatro arquivos adicionais. A variante Android, distribuída como INCD-SecurityUpdate-FEB24.apk, mostra o mesmo vídeo de propaganda observado na versão Windows. No Android, a funcionalidade destrutiva reside na biblioteca nativa libexampleone.so, que lista arquivos, preenche seu conteúdo com zeros e depois remove os itens do sistema de arquivos.
- Usuários que executam anexos RAR ou ZIP com iscas sobre guerra, segurança regional, orçamento da Autoridade Palestina ou falsas atualizações de segurança.
- Endpoints Windows que carregam DLLs locais chamadas
version.dlloupropsys.dlla partir do mesmo diretório de um executável legítimo renomeado. - Organizações israelenses que receberam arquivo
ESETUnleashed_081024.zipou executaramSetup.exeassociado a comunicação comoref.org.il. - Dispositivos Android que instalaram
INCD-SecurityUpdate-FEB24.apke carregaram a biblioteca nativalibexampleone.so.
A busca deve começar por telemetria de endpoint que una três condições: abertura de arquivo compactado, execução de binário com nome em árabe ou tema regional e carregamento de DLL a partir de um diretório controlado pelo usuário. A presença de setup_wm.exe renomeado, version.dll ou propsys.dll ao lado de PDFs de isca é um sinal forte para investigação, principalmente quando seguida por cmd.exe abrindo documento e por requisições HTTP incomuns. A coleta inicial descrita inclui versão do Office, versão do sistema operacional, nome do computador, usuário e lista de programas; portanto, conexões para requestinspector.com logo após a abertura de iscas merecem correlação com criação de processos e inventário de software.
No tráfego de rede, a operação apresenta controle por user agent específico: cada amostra observada usa uma string única e o C2 responde apenas quando ela está presente; caso contrário, a requisição é redirecionada para um site legítimo. Isso reduz o valor de testes manuais simples contra o domínio e torna logs históricos mais importantes do que validação direta posterior. Caçadas devem correlacionar user agents raros, requisições HTTP com padrões repetidos para domínios da operação e downloads de payload escondido em elementos HTML. Páginas que imitam o Docdroid em suppertools[.]com e healthscratches[.]com, com URLs contendo parâmetro uid, também devem ser revisadas em proxies, DNS e navegadores corporativos.
Para a parte destrutiva, a telemetria deve procurar execução de Setup.exe a partir de ESETUnleashed_081024.zip, tentativas de acesso a oref.org.il antes de atividade intensa de escrita em disco e alteração de plano de fundo com propaganda associada às Brigadas Al-Qassam. Eventos de sobrescrita massiva fora de diretórios protegidos, especialmente com preservação de nomes contendo desktop.ini ou conf.conf, são compatíveis com o comportamento descrito para o wiper de outubro. Em Android, a instalação do pacote INCD-SecurityUpdate-FEB24.apk, execução de código nativo em libexampleone.so e operações de listagem, zeragem e exclusão de arquivos formam a sequência de maior interesse forense.
- Processos iniciados a partir de RARs ou ZIPs extraídos que carregam
version.dlloupropsys.dlldo diretório local. - Requisições para
requestinspector.comcontendo inventário de máquina, usuário, Office, sistema operacional e programas instalados. - Conexões para
master-dental[.]comassociadas ao agenteHavoc Demonou a tráfego de pós-exploração. - Acesso a
theshortner[.]com/fxT1jantes do download de RAR com isca sobre Beirute e guerra no Líbano. - Execução de
Setup.execom conexão paraoref.org.ile sequência posterior de escrita destrutiva em arquivos. - URLs de phishing em
suppertools[.]com/s/?uid=...ehealthscratches[.]com/s/?uid=....
A resposta deve separar contenção de espionagem e contenção de wiper. Para casos de IronWind, isole endpoints que executaram os pacotes compactados, preserve cópias dos arquivos extraídos e exporte telemetria de processo, DLL carregada, linha de comando, DNS e HTTP antes da limpeza. Como o fluxo envia inventário da máquina e pode entregar Havoc Demon, a máquina deve ser tratada como potencialmente acessada remotamente, mesmo quando a etapa final observada apenas encerra o processo. A revisão precisa incluir contas usadas no endpoint, sessões ativas, persistência criada por ferramentas de pós-exploração e conexões para C2 com user agent incomum.
Para o SameCoin, a prioridade é interromper a execução antes da enumeração e sobrescrita de arquivos. Organizações que receberam o e-mail falso de segurança devem bloquear o ZIP e seus executáveis associados, revogar a confiança operacional em anexos originados do endereço abusado e procurar cópias de ESETUnleashed_081024.zip em caixas postais, gateways, EDR e compartilhamentos. Em endpoints com sinais de wiper, desconectar rede e energia lógica de forma controlada pode preservar evidência e impedir propagação operacional, mas a recuperação dependerá de backups íntegros, já que o comportamento observado envolve sobrescrita de conteúdo e, no Android, zeragem e exclusão.
A prevenção deve reduzir a chance de execução do pacote inicial. Políticas de bloqueio para arquivos compactados com executáveis e DLLs lado a lado, regras de EDR para DLL-Sideloading a partir de diretórios de usuário, inspeção de PDFs com URLs embutidas e análise de anexos com nomes políticos em árabe são controles diretamente alinhados à cadeia descrita. Em paralelo, proxies e DNS devem bloquear os domínios citados, mas a ausência de resposta maliciosa em teste posterior não deve encerrar a investigação, porque a infraestrutura diferencia vítimas por user agent, URL, IP ou condição geográfica.
- Bloquear
theshortner[.]com,master-dental[.]com,requestinspector.com,suppertools[.]comehealthscratches[.]comnos controles de DNS, proxy e EDR, preservando logs históricos para investigação. - Criar detecções para execução de binário legítimo renomeado acompanhado de
version.dlloupropsys.dllno mesmo diretório. - Quarentenar
ESETUnleashed_081024.zip,Setup.exe,MicrosoftEdge.exe,INCD-SecurityUpdate-FEB24.apkelibexampleone.soquando aparecerem fora de origem corporativa validada. - Revisar backups de organizações expostas ao wiper e testar restauração de sistemas críticos antes de recolocar endpoints afetados em produção.
- Investigar contas e credenciais usadas em máquinas com
Havoc Demon, pois o framework observado permite manutenção de acesso remoto e operações avançadas após a infecção inicial.
0 Comentários