ΑρχικήsecurityΗ ομάδα hacking WIRTE στοχεύει κυβερνήσεις στη Μέση Ανατολή

Η ομάδα hacking WIRTE στοχεύει κυβερνήσεις στη Μέση Ανατολή

Μια ομάδα hacking που ονομάζεται WIRTE έχει συνδεθεί με μια εκστρατεία κυβερνητικής στόχευσης που διεξάγει επιθέσεις τουλάχιστον από το 2019 χρησιμοποιώντας κακόβουλες μακροεντολές Excel 4.0.

WIRTE

Δείτε επίσης: Servers Docker στοχοποιούνται από την ομάδα hacking TeamTNT

Το κύριο πεδίο στόχευσης περιλαμβάνει δημόσιους και ιδιωτικούς φορείς υψηλού προφίλ στη Μέση Ανατολή, αλλά οι ερευνητές εντόπισαν στόχους και σε άλλες περιοχές.

Η Kaspersky ανέλυσε την εκστρατεία, το σύνολο εργαλείων και τις μεθόδους και κατέληξε στο συμπέρασμα ότι μάλλον η ομάδα WIRTE έχει φιλοπαλαιστινιακά κίνητρα και υποπτεύεται ότι είναι μέρος του «Gaza Cybergang».

Ωστόσο, σε σύγκριση με άλλες συνδεδεμένες ομάδες hacking, το WIRTE έχει καλύτερο OpSec και πιο μυστικές τεχνικές και μπορούν να αποφύγουν τον εντοπισμό για μεγάλα χρονικά διαστήματα.

Τα phishing emails της WIRTE περιλαμβάνουν έγγραφα Excel που εκτελούν κακόβουλες μακροεντολές για λήψη και εγκατάσταση malware payloads στις συσκευές των παραληπτών.

Ενώ το κύριο επίκεντρο των επιθέσεων της WIRTE σε κυβερνητικές και διπλωματικές οντότητες, η Kaspersky έχει δει αυτές τις επιθέσεις να στοχεύουν μια μεγάλη ποικιλία βιομηχανιών σε όλη τη Μέση Ανατολή και σε άλλες περιοχές.

Τα κακόβουλα έγγραφα είναι προσαρμοσμένα για να αυξήσουν το ενδιαφέρον του στοχευόμενου θύματος και χρησιμοποιούν λογότυπα και θέματα που μιμούνται brands, authorities ή τον στοχευόμενο οργανισμό.

Δείτε επίσης: Ομάδα hacking Fin7: Μεταμφιέζεται ως εταιρεία και στρατολογεί ταλέντα

WIRTE

Το Excel dropper εκτελεί πρώτα μια σειρά τύπων σε μια κρυφή στήλη, η οποία κρύβει το αίτημα “ενεργοποίηση επεξεργασίας” από το αρχικό αρχείο και αποκρύπτει ένα δευτερεύον υπολογιστικό φύλλο που περιέχει το decoy.

Στη συνέχεια, το dropper εκτελεί τύπους από ένα τρίτο spreadsheet με κρυφές στήλες, οι οποίες εκτελούν τους ακόλουθους τρεις ελέγχους anti-sandbox:

  1. Λήψη του ονόματος περιβάλλοντος
  2. Έλεγχος αν το ποντίκι είναι παρόν
  3. Έλεγχος εάν το host computer μπορεί να αναπαράγει ήχους

Εάν περάσουν όλοι οι έλεγχοι, η μακροεντολή γράφει ένα VBS script που γράφει ένα ενσωματωμένο PowerShell snippet και δύο registry keys για persistence.

Στη συνέχεια, η μακροεντολή συνεχίζει γράφοντας ένα PowerShell με κώδικα VB στο %ProgramData%. Αυτό το snippet είναι το stager «LitePower» που θα κατεβάζει payloads και θα λαμβάνει εντολές από το C2.

Οι εντολές που εντοπίστηκαν από την Kaspersky κατά τη διάρκεια των διαφόρων εισβολών είναι οι ακόλουθες:

  • Λίστα τοπικών disk drives
  • Λήψη λίστας με το εγκατεστημένο λογισμικό AV
  • Έλεγχος εάν ο τρέχων χρήστης είναι διαχειριστής
  • Αποκτήστε OS architecture
  • Έλεγχος για την ύπαρξη υπηρεσιών backdoor
  • Έλεγχος για registry keys που έχουν προστεθεί για COM hijacking
  • Καταχώριση όλων των εγκατεστημένων επειγουσών επιδιορθώσεων
  • Λήψη screenshot και αποθήκευση στο %AppData% μέχρι το επόμενο αίτημα POST

Οι χάκερ τοποθέτησαν τα C2 domains τους πίσω από το Cloudflare για να κρύψουν τις πραγματικές διευθύνσεις IP, αλλά η Kaspersky κατάφερε να αναγνωρίσει ορισμένα από αυτά και διαπίστωσε ότι φιλοξενούνται στην Ουκρανία και την Εσθονία.

Πολλά από αυτά τα domain χρονολογούνται τουλάχιστον από τον Δεκέμβριο του 2019, ενδεικτικό της ικανότητας της ομάδας WIRTE να αποφεύγει τον εντοπισμό, την ανάλυση και την αναφορά για εκτεταμένες περιόδους.

Δείτε επίσης: Η ομάδα hacking BladeHawk κατασκοπεύει τους Κούρδους

Οι πιο πρόσφατες εισβολές χρησιμοποιούν το TCP/443 μέσω HTTPS στην επικοινωνία C2, αλλά χρησιμοποιούν και τις θύρες TCP 2096 και 2087, όπως αναφέρεται σε μια αναφορά του 2019 από το Lab52.

Μια άλλη ομοιότητα με την παλαιότερη καμπάνια είναι η λειτουργία ύπνου στο script, η οποία εξακολουθεί να κυμαίνεται μεταξύ 60 και 100 δευτερολέπτων.

WIRTE

Η ομάδα WIRTE έχει πλέον δει να επεκτείνει δοκιμαστικά το πεδίο στόχευσης σε χρηματοπιστωτικά ιδρύματα και μεγάλους ιδιωτικούς οργανισμούς, κάτι που θα μπορούσε να είναι αποτέλεσμα πειραματισμού ή σταδιακής αλλαγής της εστίασης.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS