С начала сентября 2023 года группировка BLACKSTEM активно использовала уязвимость в отраженном скриптовом внедрении (XSS) на веб-сайте Палестинской гражданской полиции (palpolice.ps). Сгенерированная ссылка инициировала всплывающее окно браузера, направляя пользователя на архив news.rar с эксплойтом, использующим известную ошибку (CVE-2023-38831) в популярном архиваторе WinRAR. В результате загружался бэкдор MAGNIFI.

Также в сентябре 2023 года мы выявили начальные шаги BLACKSTEM по созданию программного обеспечения для Android, имитирующего реальное приложение, используемое сотрудниками Министерства внутренних дел Палестины (MOI). Настоящее же приложение позволяло сотрудникам MOI получать доступ к внутренним данным на своих мобильных устройствах. На момент обнаружения предполагается, что разработка этого приложения находилась на ранних этапах. Приложение не было опубликовано на площадке Google Play, и нет свидетельств его широкого распространения.

Последние кампании свидетельствуют о совершенствовании методов и тактик хакерских группировок, связанных с ХАМАСом, включая тщательно проработанные социальные уловки, предназначенные для привлечения внимания узкой группы ценных целей. В сентябре 2023 года предположительно аффилированная с ХАМАСом группа из Палестины «взяла на мушку» израильских инженеров программного обеспечения, используя изощренные социальные уловки, с помощью которых, в конечном итоге, установила вредоносное ПО и перехватила файлы cookie.

Атакующие, BLACKATOM (идентифицированные под таким названием группой анализа угроз Google) выдавали себя за сотрудников настоящих компаний и общались с целями через LinkedIn, приглашая их подавать заявки на вакансии фриланс-разработчиков. Среди целей были инженеры программного обеспечения израильской армии, а также аэрокосмической и оборонной отрасли промышленности Израиля.

После установления первичной связи, BLACKATOM отправлял целям документ-ловушку с инструкциями для участия конкурсе вакансий, где оценивались умения кодировать. Инструкции направляли целей скачать проект для приложения Visual Studio с GitHub или Drive, контролируемого злоумышленниками, затем, добавить функции в проект для демонстрации своих навыков и отправить его обратно для оценки.

Проект представлял собой безобидное приложение для управления человеческими ресурсами, но включал в себя функцию скачивания вредоносного ZIP-архива, этот архив затем извлекался и начинал красть информацию с компьютера жертвы. На основе индикаторов начальной активности были выявлены троянские приложения React, использованные BLACKATOM в рамках этой атаки.

SYSJOKER, многоплатформенный бэкдор, использование которого, впервые было зафиксировано в 2022 году, представляет собой «вредоносную нагрузку», включающую варианты для операционных систем Windows, Linux и Mac. В отчете от сентября 2023 года был выявлен последний вариант, который использует OneDrive от Microsoft для размещения адреса C2. Предыдущие версии «вредоносной нагрузки» работали через сервис Drive. Когда была обнаружена вредоносная активность, URL-адреса на Drive, управляемые злоумышленниками были немедленно прерваны, а также внедрены обновленные сигнатуры вредоносного ПО для SYSJOKER с целью усиления защиты пользователей.

Данная цепочка атак подчеркнула более гибкую настройку именно что операционной направленности, это обычно не является характерной чертой для группировок, связанных с ХАМАСом. Наблюдается подобное развитие в и других группах, представляющих угрозу, по мере их зрелости, развития, они совершенствуют свои способности. Можно сказать, что мы сталкиваемся с аналогичными эволюционными изменениями в и тех группировках, которые непосредственно связанны с ХАМАСом.

Мобильное вредоносное ПО занимает одно из лидирующих мест по использованию в арсенале хакеров из Ирана и Палестины, их основная задача –  сбор информации, в том числе данных о звонках, сообщениях, контактах пользователей, об их текущем местоположении и действиях на их устройствах. До 7 октября хакеры, связанные с ХАМАС и Ираном, фокусировали свое внимание на пользователях в Израиле, используя вредоносные приложения для операционной системы Android. Таковая деятельность является обычной для данных хакерских группировок, она, вероятно, входит в их совместные усилия по сбору информации о целях.

После атаки ХАМАСа 7 октября мобильное вредоносное ПО стало важнейшим инструментом для проведения кибератак с целями сбора информации о пользователях в Израиле. В течение нескольких дней после начала конфликта неизвестные предприняли попытки использовать потребность израильтян в мгновенных экстренных оповещениях. Они распространяли вредоносные приложения, замаскированные под приложение, которые позволяет жителям Израиля следить за оперативной информацией о ракетных ударах и получать предупреждения о ракетной опасности (приложение под названием Red Alert).

Группы, связанные с ХАМАСом, регулярно используют вредоносное ПО в попытках собрать целевую для них информацию. В 2023 году установлено несколько кибератак, связанных с распространением вредоносных приложений для Android, данные приложения были созданы хакерскими подразделениями, аффилированными с ХАМАСом.