WIRTE Hacker Group sa zameriava na vládu, právo a finančné subjekty na Blízkom východe

Vláda, diplomatické subjekty, vojenské organizácie, právnické firmy a finančné inštitúcie nachádzajúce sa predovšetkým na Blízkom východe boli už v roku 2019 terčom kradmej kampane proti škodlivému softvéru, ktorá využívala škodlivé dokumenty Microsoft Excel a Word.

Ruská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Kaspersky pripísala útoky s vysokou dôverou aktérovi hrozby menom WIRTE a pridala k nim „kvapkadlá MS Excel, ktoré používajú skryté tabuľky a makrá VBA na odstránenie implantátu prvej fázy“, čo je skript Visual Basic Script (VBS) s funkčnosť na zhromažďovanie systémových informácií a spúšťanie ľubovoľného kódu odoslaného útočníkmi na infikovanom počítači.

Analýza kampane, ako aj nástrojov a metód, ktoré použil protivník, tiež viedla výskumníkov k záveru s nízkou istotou, že skupina WIRTE má spojenie s iným politicky motivovaným kolektívom nazývaným Gaza Cybergang. Zasiahnuté subjekty sú rozmiestnené po Arménsku, Cypre, Egypte, Jordánsku, Libanone, Palestíne, Sýrii a Turecku.

“Operátori WIRTE používajú jednoduché a pomerne bežné TTP, ktoré im umožnili zostať neodhalené po dlhú dobu,” povedal Maher Yamout, výskumník Kaspersky. “Táto podozrivá podskupina z Gazy Cybergang použila jednoduché, ale účinné metódy na kompromitovanie svojich obetí pomocou lepšieho OpSec ako jej podozriví náprotivky.”

Infekčná sekvencia pozorovaná Kaspersky zahŕňa návnadu dokumentov Microsoft Office nasadzujúcich Visual Basic Script (VBS), potenciálne doručených prostredníctvom spear-phishingových e-mailov, ktoré sa údajne týkajú palestínskych záležitostí a iných trendových tém, ktoré sú prispôsobené cieľovým obetiam.

Kvapkadlá Excelu sú naprogramované tak, aby spúšťali škodlivé makrá na stiahnutie a inštaláciu implantátu ďalšej fázy s názvom Ferocious do zariadení príjemcov, zatiaľ čo kvapkadlá dokumentov programu Word využívajú makrá VBA na stiahnutie rovnakého malvéru. Ferocious dropper, zložený zo skriptov VBS a PowerShell, využíva techniku ​​Living-off-the-land (LotL) nazývanú COM hijacking na dosiahnutie vytrvalosti a spúšťa spustenie skriptu PowerShell s názvom LitePower.

Tento LitePower, skript PowerShell, funguje ako downloader a sekundárny stager, ktorý sa pripája k serverom na vzdialené príkazy a riadenie na Ukrajine a v Estónsku – z ktorých niektoré pochádzajú z decembra 2019 – a čaká na ďalšie príkazy, ktoré by mohli viesť k nasadeniu ďalší malvér na napadnutých systémoch.

“WIRTE upravila svoju súpravu nástrojov a spôsob ich fungovania tak, aby zostali utajené počas dlhšieho časového obdobia. Techniky Living-off-the-land (LotL) sú zaujímavým novým doplnkom ich TTP,” povedal Yamout. „Používanie interpretovaného jazykového malvéru, ako sú skripty VBS a PowerShell, na rozdiel od iných podskupín Gaza Cybergang pridáva flexibilitu pri aktualizácii ich sady nástrojov a vyhýba sa statickým kontrolám detekcie.“