WIRTE adlı gizli bir hack grubu, kötü amaçlı Excel 4.0 makrolarını kullanarak en az 2019’dan bu yana saldırılar düzenleyen bir hükümet hedefleme kampanyasıyla bağlantılıdır.
Birincil hedefleme kapsamı, Orta Doğu’daki yüksek profilli kamu ve özel kuruluşları içerir, ancak araştırmacılar diğer bölgelerdeki hedefleri de gözlemlediler.
Kaspersky kampanyayı, araç kümesini ve yöntemleri analiz etti ve WIRTE’nin Filistin yanlısı motiflere sahip olduğu ve ‘Gazze Sibergang‘.
Bununla birlikte, diğer bağlı hack gruplarına kıyasla, WIRTE daha iyi OpSec ve daha gizli tekniklere sahiptir ve uzun süre tespit edilmekten kaçınabilirler.
Zor damlalık yürütme akışı
WIRTE’nin kimlik avı e-postaları, alıcıların cihazlarına kötü amaçlı yazılım yükleri indirmek ve yüklemek için kötü amaçlı makrolar yürüten Excel belgelerini içerir
WIRTE’nin saldırılarının ana odağı hükümet ve diplomatik kuruluşlar olsa da Kaspersky, bu saldırıların Orta Doğu ve diğer bölgelerde çok çeşitli endüstrileri hedef alan olduğunu gördü.
Kaspersky’s, “Telemetrimiz, tehdit aktörünün diplomatik ve finansal kurumlar, hükümet, hukuk firmaları, askeri kuruluşlar ve teknoloji şirketleri de dahil olmak üzere çeşitli dikeyleri hedef aldığını göstermektedir.” dedi. rapor.
“Etkilenen taraflar Ermenistan, Kıbrıs, Mısır, Ürdün, Lübnan, Filistin, Suriye ve Türkiye’de bulunmaktadır.”
Kötü amaçlı belgeler, hedeflenen kurbanın ilgisini artırmak ve markaları, yetkilileri veya hedeflenen kuruluşu taklit eden logolar ve temalar kullanmak için özel olarak tasarlanmıştır.
Excel damlalık, ilk olarak gizli bir sütunda ” düzenlemeyi etkinleştir” isteğini özgün dosyadan gizleyen ve yem içeren ikincil bir elektronik tabloyu gösteren bir dizi formül çalıştırır.
Damlalık daha sonra, aşağıdaki üç korumalı alan karşıtı denetimi gerçekleştiren gizli sütunlara sahip üçüncü bir elektronik tablodan formüller çalıştırır:
- Ortamın adını alma
- Fare olup olmadığını denetleme
- Ana bilgisayarın sesleri çalıp çalamazsa denetleme
Tüm denetimler geçirilirse, makro katıştırılmış bir PowerShell snippet’i ve kalıcılık için iki kayıt defteri anahtarı yazan bir VBS komut dosyası yazar.
Makro daha sonra %ProgramData% üzerine VB kodlu bir PowerShell yazarak devam eder. Bu snippet, yükleri indirecek ve C2’den komut alacak ‘LitePower’ sahneleyicidir.
Kaspersky tarafından izlenen/analiz edilen çeşitli izinsiz girişler sırasında gözlemlenen komutlar şunlardır:
- Yerel disk sürücülerini listeleme
- Yüklü AV yazılımının listesini al
- Geçerli kullanıcının yönetici olup olmadığını denetleme
- işletim sistemi mimarisini alın
- Arka kapı hizmetlerinin olup olmadığını denetleme
- COM ele geçirme için eklenen kayıt defteri anahtarlarını denetleme
- Yüklü tüm düzeltmeleri listele
- Ekran görüntüsü alın ve bir sonraki POST isteğine kadar %AppData% öğesine kaydedin
Gizlenmiş komut ve denetim
Aktörler, gerçek IP adreslerini gizlemek için C2 alan adlarını Cloudflare’in arkasına yerleştirdiler, ancak Kaspersky bazılarını tanımlayabildi ve Ukrayna ve Estonya’da barındırıldıklarını buldu.
Bu alan adlarının çoğu, WIRTE’nin kapsamlı süreler boyunca algılama, analiz ve raporlamadan kaçınma yeteneğinin göstergesi olan en az Aralık 2019’a kadar uzanmaktadır.
En son izinsiz girişler C2 iletişiminde HTTPS üzerinden TCP/443 kullanır, ancak aynı zamanda belirtildiği gibi 2096 ve 2087 TCP bağlantı noktalarını kullanır Lab52 tarafından hazırlanan 2019 raporu.
Eski kampanya ile bir başka benzerlik, hala 60 ila 100 saniye arasında değişen komut dosyasındaki uyku işlevidir.
WIRTE’nin hedefleme kapsamını belirsiz bir şekilde finansal enstitülere ve büyük özel kuruluşlara genişletdiği görülmüştür, bu da denemelerin veya odaktaki kademeli bir değişikliğin sonucu olabilir.
Kaspersky, bu aktörler tarafından kullanılan TTP’lerin basit ve oldukça sıradan olmasına rağmen, grubun hedeflerine karşı hala çok etkili oldukları konusunda uyarıyor.