Handala: вайпер, обнуляющий компьютеры израильских организаций

26 июля 2024 года хакерская группа Handala Hacking Team начала атаку на израильские цели, распространяя вредоносное ПО через фишинговые электронные письма, эксплуатирующие тематику исправления ошибки Falcon Sensor от CrowdStrike, вызвавшей массовые сбои компьютеров по всему миру.

Handala Hacking Team впервые заявила о себе в декабре прошлого года, когда в своём первом посте на платформе X * отметила Израильское Национальное Управление Киберзащиты (INCD), что привлекло внимание киберспециалистов. Официальные израильские источники связывают эту группу с Ираном, хотя другие организации, такие как Cyberint и Intezer, определяют её как «пропалестинскую активистскую группу».

На прошлой неделе компания по кибербезопасности Trellix подтвердила массовую рассылку вредоносных писем группе израильских клиентов. Эти письма были заблокированы до попадания в почтовые ящики получателей, что помогло избежать значительного ущерба, тем не менее, упомянуть об атаке всё-таки стоит в силу её интересных особенностей.

Всё начинается с фальшивого письма от имени CrowdStrike, предлагающего «исправление» для устранения проблем, вызванных недавними сбоями. В письме содержится ссылка на архив «update.zip», в котором находится установочный файл «CrowdStrike.exe». Этот файл, будучи инсталлятором Nullsoft Scriptable Install System (NSIS), разворачивает и выполняет вредоносный код, который обходит антивирусные проверки.

После запуска вредоносное ПО собирает системную информацию и отправляет её через API Telegram, что позволяет хакерам следить за активностью вируса и жертвами атак. Затем вирус начинает уничтожать файлы на заражённых компьютерах, используя метод перезаписи данных случайными байтами.

Для выполнения атаки скрипт сначала проверяет наличие антивирусных программ на компьютере, таких как Webroot, Avast, AVG и другие. Если такие программы обнаружены, вредоносное ПО временно приостанавливает свою деятельность, чтобы избежать выявления. Это происходит с помощью скрипта, который отправляет 186 команд ping на localhost, создавая тем самым задержку в три минуты.

Вредоносный код, использующийся в атаке, включает обфусцированные строки и сложные проверки для обхода песочниц и антивирусных программ. Основная цель вируса — уничтожение файлов на заражённых компьютерах. Однако перед этим все ценные данные пересылаются на серверы злоумышленников.

Использование одного и того же кода в нескольких атаках указывает на повторное использование группой вредоносного ПО Handala. Это подтверждается одинаковыми идентификаторами TypeLib ID в старом и новом версиях вредоносного ПО, что указывает на высокую вероятность того, что группа использует один и тот же проект Visual Studio для создания своих вирусов.

Процесс удаления файлов включает в себя проверку, используется ли файл другими процессами. Если файл используется, вирус завершает препятствующий процесс и затем удаляет файл. Вся информация о процессе удаления и атаке отправляется в Telegram-канал, управляемый хакерами, что позволяет им следить за успешностью своих действий и получать информацию о жертвах.

Handala Hacking Team известна своими агрессивными и публичными действиями. Их предыдущие атаки также были направлены на израильские цели, и они часто публикуют отчёты и заявления о своих действиях, что подчёркивает их хактивистскую природу и стремление к публичности.

Для предотвращения подобных инцидентов организациям рекомендуется усилить обучение сотрудников по вопросам кибербезопасности, внедрить многофакторную аутентификацию и регулярно обновлять защитное программное обеспечение. Постоянный мониторинг и своевременное реагирование на подозрительную активность помогут минимизировать риски и защитить важные данные.

* Социальная сеть запрещена на территории Российской Федерации.