Un groupe de piratage furtif nommé WIRTE est lié à une campagne de ciblage du gouvernement menant des attaques depuis au moins 2019 à l’aide de macros Excel 4.0 malveillantes.
Le champ de ciblage principal comprend des entités publiques et privées de premier plan au Moyen-Orient, mais les chercheurs ont également observé des cibles dans d’autres régions.
Kaspersky a analysé la campagne, l’ensemble d’outils et les méthodes, et a conclu avec une faible confiance que WIRTE a des motivations pro-palestiniennes et est soupçonné de faire partie du « Gaza Cybergang ».
Cependant, par rapport à d’autres groupes de piratage affiliés, WIRTE a un meilleur OpSec et des techniques plus furtives, et ils peuvent éviter la détection pendant de longues périodes.
Flux d’exécution de compte-gouttes délicat
Les e-mails de phishing de WIRTE incluent des documents Excel qui exécutent des macros malveillantes pour télécharger et installer des charges utiles de logiciels malveillants sur les appareils des destinataires
Alors que le principal objectif des attaques de WIRTE contre le gouvernement et les entités diplomatiques, Kaspersky a vu ces attaques cibler une grande variété d’industries à travers le Moyen-Orient et d’autres régions.
« Notre télémétrie indique que l’acteur de la menace a ciblé une variété de secteurs verticaux, y compris les institutions diplomatiques et financières, le gouvernement, les cabinets d’avocats, les organisations militaires et les entreprises technologiques », a expliqué Kaspersky. rapport.
« Les entités concernées sont situées en Arménie, à Chypre, en Égypte, en Jordanie, au Liban, en Palestine, en Syrie et en Turquie. »
Les documents malveillants sont conçus pour susciter l’intérêt de la victime ciblée et utilisent des logos et des thèmes qui imitent les marques, les autorités ou l’organisation ciblée.
Source : Kaspersky
Le compte-gouttes Excel exécute d’abord une série de formules dans une colonne masquée, qui masque la demande « activer l’édition » du fichier d’origine et affiche une feuille de calcul secondaire qui contient le leurre.
Le compte-gouttes exécute ensuite des formules à partir d’une troisième feuille de calcul avec des colonnes masquées, qui effectuent les trois vérifications anti-bac à sable suivantes :
- Obtenir le nom de l’environnement
- Vérifiez si une souris est présente
- Vérifiez si l’ordinateur hôte peut jouer des sons
Si toutes les vérifications sont réussies, la macro écrit un script VBS qui écrit un extrait de code PowerShell intégré et deux clés de registre pour la persistance.
Source : Kaspersky
La macro continue ensuite en écrivant un PowerShell avec du code VB sur %ProgramData%. Cet extrait est le stager ‘LitePower’ qui téléchargera les charges utiles et recevra les commandes du C2.
Les commandes observées par Kaspersky lors des différentes intrusions surveillées/analysées sont les suivantes :
- Lister les disques locaux
- Obtenir la liste des logiciels AV installés
- Vérifiez si l’utilisateur actuel est administrateur
- Obtenir l’architecture du système d’exploitation
- Vérifier l’existence de services de porte dérobée
- Vérifiez les clés de registre ajoutées pour le piratage COM
- Lister tous les correctifs installés
- Obtenez une capture d’écran et enregistrez-la dans %AppData% jusqu’à la prochaine requête POST
Commandement et contrôle obscurcis
Les acteurs ont placé leurs domaines C2 derrière Cloudflare pour masquer les adresses IP réelles, mais Kaspersky a pu en identifier certains et a découvert qu’ils sont hébergés en Ukraine et en Estonie.
Beaucoup de ces domaines remontent à au moins décembre 2019, ce qui indique la capacité de WIRTE à échapper à la détection, à l’analyse et à la création de rapports pendant de longues périodes.
Source : Kaspersky
Les intrusions les plus récentes utilisent TCP/443 sur HTTPS dans la communication C2, mais elles utilisent également les ports TCP 2096 et 2087, comme mentionné dans un rapport 2019 du Lab52.
Une autre similitude avec l’ancienne campagne est la fonction de veille sur le script, qui varie toujours entre 60 et 100 secondes.
Source : Kaspersky
On voit maintenant WIRTE étendre provisoirement son champ de ciblage aux instituts financiers et aux grandes organisations privées, ce qui pourrait être le résultat d’expérimentations ou d’un changement progressif d’orientation.
Kaspersky prévient que même si les TTP utilisés par ces acteurs sont simples et plutôt ordinaires, ils sont toujours très efficaces contre les cibles du groupe.