WIRTE, una banda criminale, è considerata responsabile di un’operazione mirata al governo che sfrutta macro dannose di Excel 4.0 note dal 2019. Le imprese governative e private di alto profilo in Medio Oriente sono gli obiettivi principali, sebbene gli esperti abbiano scoperto obiettivi anche in altre località.
Kaspersky ha esaminato la campagna, il set di strumenti e la metodologia e ha stabilito che WIRTE ha motivazioni pro-palestinesi ed è sospettato di essere un membro della “Gaza Cybergang”. WIRTE, d’altra parte, ha procedure segrete e OpSec superiori rispetto ad altre organizzazioni di hacking associate e possono eludere la scoperta per periodi più lunghi.
Le e-mail di phishing di WIRTE includono fogli di calcolo Excel che eseguono macro pericolose sui computer dei destinatari, scaricando e installando payload di malware. Mentre gli obiettivi primari di WIRTE sono i governi e le istituzioni diplomatiche, Kaspersky ha assistito ad assalti a molte aziende in Medio Oriente e in altre località.
Secondo il rapporto di Kaspersky, l’attore delle minacce ha preso di mira un’ampia gamma di figure, tra cui istituzioni diplomatiche e finanziarie, governo, studi legali, gruppi militari e società tecnologiche. I paesi colpiti includono Armenia, Cipro, Egitto, Giordania, Libano, Palestina, Siria e Turchia.
I documenti infetti sono progettati per stimolare l’attenzione della vittima e includono loghi e temi che ricordano aziende, autorità o l’organizzazione presa di mira. Il dropper di Excel esegue inizialmente una sequenza di calcoli in una colonna nascosta, che maschera la richiesta di “Abilita modifica” dal file originale mentre rivela un foglio di calcolo secondario con l’esca.
Il dropper esegue quindi i seguenti test anti-sandbox utilizzando le formule di un terzo foglio di calcolo con colonne nascoste:
- Verifica la presenza di un mouse
- Scopre come si chiama l’ambiente
- Verifica se il computer host è in grado di riprodurre suoni
La macro crea uno script VBS con uno snippet PowerShell integrato e due voci di registro per la persistenza se tutti i controlli vengono superati. Successivamente, la macro scrive uno script PowerShell con codice VB sulla percentuale ProgramData. Questo frammento è lo stager “LitePower”, che accetterà i comandi dal C2 (il server di comando e controllo) e scaricherà i payload.
Gli autori hanno nascosto i veri indirizzi IP dei loro domini C2 dietro Cloudflare. Tuttavia, Kaspersky è stato in grado di identificarne alcuni e ha scoperto che hanno sede in Ucraina ed Estonia. Molti di questi domini risalgono almeno a dicembre 2019, a dimostrazione della propensione di WIRTE a passare inosservati, non analizzati e non segnalati per lunghi periodi.
Secondo un’analisi Lab52 del 2019, le intrusioni più recenti utilizzano TCP/443 tramite HTTPS per la comunicazione C2, sebbene utilizzino anche le porte TCP 2096 e 2087. Un’altra somiglianza con l’ultima campagna è la funzione di sospensione dello script, che dura tra 60 e 100 secondi.
Si è visto che WIRTE ha aumentato con esitazione il suo ambito di destinazione per includere istituzioni finanziarie e grandi aziende private, che potrebbero derivare da tentativi ed errori o da un graduale spostamento dell’obiettivo. Anche se i TTP di questi attori sono banali e diretti, Kaspersky avverte che hanno comunque un discreto successo rispetto agli obiettivi del gruppo.