WIRTE

Grup peretas tersembunyi bernama WIRTE telah dikaitkan dengan kampanye penargetan pemerintah yang melakukan serangan setidaknya sejak 2019 menggunakan makro Excel 4.0 yang berbahaya.

Cakupan penargetan utama mencakup entitas publik dan swasta profil tinggi di Timur Tengah, tetapi peneliti juga mengamati target di wilayah lain.

Kaspersky menyimpulkan bahwa WIRTE memiliki motif pro-Palestina dan diduga menjadi bagian dari ‘Gaza Cybergang’. WIRTE memiliki OpSec yang lebih baik dan teknik yang lebih tersembunyi, dan mereka dapat menghindari deteksi untuk waktu yang lama.

WIRTE melakukan email phishing dengan menyertakan dokumen Excel yang mengeksekusi makro berbahaya untuk mengunduh dan menginstal muatan malware di perangkat penerima.

Sementara fokus utama WIRTE menyerang pemerintah dan entitas diplomatik, Kaspersky telah melihat serangan ini menargetkan berbagai industri di seluruh Timur Tengah dan wilayah lainnya.

“Entitas yang terkena dampak berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.”

Dokumen jahat tersebut dirancang untuk meningkatkan minat korban yang ditargetkan, dan menggunakan logo dan tema yang meniru merek, otoritas, atau organisasi yang ditargetkan.

Dokumen phishing dikirim ke korban
Sumber: Kaspersky

Penetes Excel pertama-tama menjalankan serangkaian rumus di kolom tersembunyi, yang menyembunyikan permintaan “aktifkan pengeditan” dari file asli dan memperlihatkan spreadsheet sekunder yang berisi umpan.

Penetes kemudian menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, dan melakukan tiga pemeriksaan anti-kotak pasir berikut:

Dapatkan nama lingkungan
Periksa apakah ada tikus
Periksa apakah komputer host dapat memutar suara

kemudian makro menulis skrip VBS yang menulis cuplikan PowerShell yang disematkan dengan dua kunci registri

Menambahkan dua kunci registri
Sumber: Kaspersky

Makro kemudian melanjutkan dengan menulis PowerShell dengan kode VB ke %ProgramData%. Cuplikan ini adalah stager ‘LitePower’ yang akan mengunduh muatan dan menerima perintah dari C2.

Perintah dan kontrol yang tidak jelas

Para aktor telah menempatkan domain C2 mereka di belakang Cloudflare untuk menyembunyikan alamat IP yang sebenarnya, tetapi Kaspersky dapat mengidentifikasi beberapa dari mereka dan menemukan bahwa mereka di-host di Ukraina dan Estonia.

Banyak dari domain ini berasal dari setidaknya Desember 2019, yang menunjukkan kemampuan WIRTE untuk menghindari deteksi, analisis, dan pelaporan untuk waktu yang lama.

Infrastruktur WIRTE C2 yang dipetakan
Sumber: Kaspersky

Intrusi terbaru menggunakan TCP/443 melalui HTTPS dalam komunikasi C2, tetapi mereka juga menggunakan port TCP 2096 dan 2087, seperti yang disebutkan dalam laporan 2019 oleh Lab52.

Fungsi tidur pada skrip
Sumber: Kaspersky

WIRTE sekarang terlihat secara tentatif memperluas cakupan penargetannya ke lembaga keuangan dan organisasi swasta besar, yang dapat merupakan hasil eksperimen atau perubahan fokus secara bertahap.

Kaspersky memperingatkan bahwa meskipun TTP yang digunakan oleh aktor-aktor ini sederhana dan agak biasa, mereka masih sangat efektif terhadap target kelompok.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

WIRTE

Cookies Settings