Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.
Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.
Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.
WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.
Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.
“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”
Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.
Sumber: Kaspersky
Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.
Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:
- Dapatkan nama lingkungan
- Periksa apakah ada tikus
- Periksa apakah komputer host dapat memutar suara
kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri
Sumber: Kaspersky
Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.
Perintah dan kontrol yang tidak jelas
Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.
Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.
Sumber: Kaspersky
Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.
Sumber: Kaspersky
WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.
Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.
Selengkapnya : Bleeping Computer
