ハマス関連のサイバー攻撃グループ「WIRTE(ワート)」の活動に関する重要な動向が明らかになった。
発生時期:2024年2月~10月
報告機関:Check Point Research(イスラエルのサイバーセキュリティ企業)
主な事実:
- 攻撃対象
- イスラエルの病院や自治体
- パレスチナ自治政府
- ヨルダン、イラク、サウジアラビア、エジプト
- 使用されたマルウェア
- SameCoinワイパー(新バージョン)
- IronWindダウンローダー
- Havoc事後搾取フレームワーク
- 攻撃手法
- ESETのイスラエルパートナー企業の正規メールアドレスを悪用
- セキュリティアップデートを装ったマルウェアの配布
- RARアーカイブを使用した偽装手法
- 特徴的な動作
- ファイルの無作為な上書き
- システム背景画像のハマス軍事部門(アルカッサム旅団)の画像への変更
- Windows及びAndroidデバイスへの攻撃機能
- タイムライン
- 2018年8月:WIRTEの活動開始
- 2024年2月:最初のSameCoinワイパー攻撃
- 2024年10月:新バージョンによる第2波の攻撃
- 技術的特徴
- Windowsローダーのタイムスタンプを2023年10月7日(ハマスによるイスラエル攻撃日)に偽装
- ファイル名:「INCD-SecurityUpdate-FEB24.exe」
from:Hamas-Affiliated WIRTE Employs SameCoin Wiper in Disruptive Attacks Against Israel
【編集部解説】
サイバー戦争の新たな局面を示す重要な事例が明らかになりました。ハマス関連のハッカー集団「WIRTE」による活動は、現代のサイバー攻撃が持つ二面性を如実に表しています。
従来のサイバースパイ活動に加えて、物理的な破壊活動へと展開していった点は、特に注目に値します。この変化は、サイバー空間における紛争が、より直接的な被害をもたらす段階に移行していることを示唆しています。
特筆すべきは、WIRTEの高度な技術力です。正規のセキュリティ企業のメールアドレスを悪用し、イスラエルの重要インフラである病院や自治体を標的にした点は、サイバー攻撃の巧妙化を示しています。
また、SameCoinワイパーの開発は、マルウェアの進化を示す重要な事例です。特にヘブライ語環境を検知して動作を開始する機能は、特定の地域や組織を狙い撃ちにする「ターゲット型攻撃」の高度化を表しています。
このような攻撃は、医療機関のような重要インフラに対する脅威となるだけでなく、一般企業や個人のデバイスまでもが標的となる可能性があります。特に注意すべきは、正規のセキュリティアップデートを装った攻撃手法です。
今回の事例は、サイバーセキュリティが国家安全保障の重要な要素となっていることを改めて示しています。同時に、企業や組織におけるセキュリティ対策の重要性も浮き彫りになりました。
将来的な影響として、このような高度な攻撃に対抗するため、AIを活用した防御システムやゼロトラストセキュリティの導入が加速する可能性があります。また、重要インフラのサイバーセキュリティ規制が世界的に強化されることも予想されます。
私たちユーザーにとって重要なのは、セキュリティアップデートの出処を慎重に確認し、不審なメールの添付ファイルには細心の注意を払うことです。また、定期的なバックアップの実施も、ワイパー型マルウェアへの有効な対策となります。
【用語解説】
- APT(Advanced Persistent Threat)
持続的な標的型攻撃を行う高度な脅威アクター。企業の警備会社に例えると、「長期潜伏型の専門的な泥棒集団」のようなものです。
- ワイパー型マルウェア(Wiper)
データを完全に消去する破壊型マルウェア。コンピュータの中のデータを「シュレッダー」のように破壊します。
- DLLサイドローディング
正規のプログラムを悪用して悪意のあるコードを実行する手法。「正規の配達員に偽物の荷物を持たせる」ような手法です。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
