与哈马斯关联的 APT 组织瞄准中东及摩洛哥政府机构

HackerNews 编译，转载请注明出处： 据称与巴勒斯坦武装组织哈马斯有关联的黑客组织被指控使用含恶意软件的文档，入侵了与阿曼、摩洛哥及巴勒斯坦权力机构相关的政府及外交实体。 帕洛阿尔托网络公司旗下Unit 42团队周四发布了一份关于该组织（其称为“灰兔”）的报告。该公司发言人向新闻媒体表示，基于多年来对该组织活动的分析，他们将其归属于哈马斯，称其“活动始终与哈马斯的战略利益保持一致”。 Unit 42指出，该组织近期活动涉及一种名为AshTag的新型恶意软件，使其得以从中东多国关键实体窃取信息。报告称，自2020年以来，“灰兔”组织的攻击手段日益复杂，发展了包括基础设施混淆等更高级的黑客技术及新工具。 该恶意软件通常伪装成涉及土耳其与巴勒斯坦实体关系的合法文档。尽管在巴以冲突期间其他哈马斯关联的黑客活动有所减少，“灰兔”组织却持续活跃，甚至在2025年10月停火后仍未停止。 AshTag恶意软件已使用多年，在10月宣布的加沙停火后仍被用于攻击。Unit 42观察到停火后该组织在某些受害环境中的直接操作活动。该恶意软件允许黑客提取文件、在受害设备下载内容并执行进一步操作。 最新攻击活动中使用的文档聚焦于土耳其与巴勒斯坦政治实体的关系，研究人员称这一转变表明土耳其实体可能成为其新的关注目标。 诱饵文档标题涉及摩洛哥与土耳其的合作关系、土耳其国防计划、哈马斯在叙利亚的活动以及巴勒斯坦政府事务等。 攻击始于一个受感染的PDF诱饵文件，引导目标下载包含恶意负载的RAR压缩包。 该组织已进行多项改进以提升操作安全性，采用不同策略使其活动更隐蔽地混入正常网络流量中。 在多起案例中，该组织利用恶意软件入侵受害系统后，直接通过键盘操控进行数据窃取。Unit 42曾发现攻击者直接从受害者邮箱下载文档——重点获取特定的外交相关文件。 研究人员表示：“‘灰兔’组织仍是持续活跃的间谍行为体，其明显意图是在近期地区冲突中继续运作——这与活动显著减少的其他关联威胁组织不同。特别是近两年来，该威胁组织的活动凸显了其持续进行情报收集的执着力。” 其他网络安全公司以“WIRTE”为名追踪该组织活动，并将其与“加沙网络组织”“Molerats”等更大团伙关联。研究人员此前曾将哈马斯关联黑客与针对以色列教育机构的SysJoker恶意软件联系起来。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文