Um grupo de hackers patrocinado pelo Estado, o WIRTE está ativo desde pelo menos 2019 e tem como alvo entidades públicas e privadas de alto perfil no Oriente Médio usando armas Excel 4.0 macrosão como conta-gotas.
Os pesquisadores de segurança cibernética da Kaspersky investigaram de perto os seguintes itens para saber os motivos do WIRTE:-
Mas, depois de analisar as coisas acima, eles concluíram que os motivos da WIRTE ainda não estão claros, mas foi relatado que com os atores da ameaça da gangue cibernética de Gaza, o grupo WIRTE tem algumas ligações.
Conta-gotas complicado
E não só isso, também observaram alvos noutras regiões além do Médio Oriente. Embora em comparação com outros grupos de hackers, o WIRTE possui habilidades superiores como: –
- Melhor segurança operacional
- Melhores técnicas furtivas
- Melhor evasão
- Melhor persistência
Nos dispositivos dos destinatários, os hackers do grupo de hackers WIRTE baixam e instalam cargas de malware executando macros do MS Excel enviadas por e-mail de phishing.
Inicialmente, em uma coluna oculta, o conta-gotas do Excel executa uma série de fórmulas para viabilizar a solicitação de edição. Posteriormente, a terceira planilha com colunas ocultas executa o conta-gotas e verifica as seguintes verificações anti-sandbox que mencionamos abaixo: –
- Obtenha o nome do ambiente
- Verifique se um mouse está presente
- Verifique se o computador host pode reproduzir sons
Alvos
O foco principal do WIRTE: –
- Entidades governamentais
- Entidades diplomáticas
- Instituições financeiras
- Escritórios de advocacia
- Organizações militares
- Empresas de tecnologia
Ações
Durante o investigação processo, os especialistas observaram vários comandos e ações que mencionamos abaixo: –
- Listar unidades de disco locais
- Obtenha a lista de software AV instalado
- Verifique se o usuário atual é um administrador
- Obtenha a arquitetura do sistema operacional
- Verifique a existência de serviços backdoor
- Verifique se há chaves de registro adicionadas para sequestro de COM
- Listar todos os hotfixes instalados
- Obtenha uma captura de tela e salve-a em% AppData% até a próxima solicitação POST
Comando e controle ocultos
Para ocultar os endereços IP reais, os hackers colocam seus domínios C2 atrás do Cloudflare. No entanto, os analistas de segurança da Kaspersky conseguiram identificar alguns que estão hospedados nos seguintes países:-
Porém, os atores da ameaça usaram as portas TCP 2096 e 2087 junto com TCP/443 sobre HTTPS na comunicação C2 para suas invasões mais recentes.
Além disso, o mais sério sobre suas ações é que o grupo de hackers WIRTE está expandindo seu escopo de segmentação para diversas organizações, incluindo institutos financeiros e grandes organizações privadas.
É por isso que, como recomendação, os analistas recomendaram fortemente que as organizações se mantivessem alertas e desenvolvessem as suas práticas de segurança para mitigar tais situações.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.
