Now Reading
WIRTE Hacker Group zielt aufwärts Regierung, Recht und Finanzinstitute im Nahen Osten ab

WIRTE Hacker Group zielt aufwärts Regierung, Recht und Finanzinstitute im Nahen Osten ab

WIRTE Hacker Group

Regierung, diplomatische Einrichtungen, Militärorganisationen, Anwaltskanzleien und Finanzinstitute, die hauptsächlich im Nahen Osten heimisch sind, wurden schon 2019 im Rahmen einer heimlichen Schadsoftware-Kampagne angegriffen, während bösartige Microsoft Excel- und Word-Dokumente verwendet wurden.

Dies russische Cybersicherheitsunternehmen Kaspersky schrieb die Angriffe mit großer Zuversicht einem Bedrohungsakteur namens WIRTE zu und fügte hinzu, dass die Einbrüche “MS Excel-Dropper, die versteckte Tabellenkalkulationen und VBA-Makros verwenden, um ihr Implantat dieser ersten Stufe purzeln zu lassen”, nebst dem es sich um ein Visual Basic Script (VBS) handelt, mit -Funktionsumfang, um Systeminformationen zu zusammenschließen und beliebigen Kode auszuführen, dieser von den Angreifern aufwärts dem infizierten Computer gesendet wird.

Eine Untersuchung dieser Kampagne sowie dieser Tools und Methoden des Gegners hat die Forscher zudem mit weniger Sicherheit zu dem Schluss geführt, dass die WIRTE-Horde Verbindungen zu einem anderen politisch motivierten Verbands… namens Gaza Cybergang hat. Die betroffenen Entitäten verteilen sich aufwärts Armenien, Zypern, Ägypten, Jordanien, Zedernrepublik, Palästinensische Autonomiegebiete, Syrien und die Türkei.

Automatische GitHub-Backups

“WIRTE-Betreiber verwenden einfache und recht gängige TTPs, die es ihnen ermöglicht nach sich ziehen, Menorrhagie Zeit unentdeckt zu bleiben”, sagte Kaspersky-Forscher Maher Yamout. “Solche mutmaßliche Untergruppe dieser Gaza-Cybergang hat einfache, nichtsdestoweniger effektive Methoden verwendet, um ihre Todesopfer mit besserem OpSec zu kompromittieren denn ihre mutmaßlichen Gegenstücke.”

Die von Kaspersky beobachtete Infektionssequenz beinhaltet dasjenige Locken von Microsoft Office-Dokumenten unter Verwendung von Visual Basic Script (VBS), dasjenige notfalls durch Spear-Phishing-E-Mails übermittelt wird, die sich vorgeblich aufwärts palästinensische Angelegenheiten und andere Trendthemen beziehen, die aufwärts die betroffenen Todesopfer zugeschnitten sind.

Die Excel-Dropper ihrerseits sind so programmiert, dass sie bösartige Makros herüberbringen, um ein Implantat dieser nächsten Stufe namens Ferocious herunterzuladen und aufwärts den Geräten dieser Empfänger zu installieren, während die Word-Dokumenten-Dropper VBA-Makros verwenden, um dieselbe Schadsoftware herunterzuladen. Dieser Ferocious Dropper besteht aus VBS- und PowerShell-Skripten und nutzt eine Living-off-the-land (LotL)-Technologie namens COM-Hijacking, um Persistenz zu gelingen, und löst die Version eines PowerShell-Skripts namens LitePower aus.

Verhindern Sie Datenschutzverletzungen

Dieses LitePower, ein PowerShell-Skript, fungiert denn Downloader und sekundärer Stager, dieser eine Verkettung zu Remote-Befehls- und Kontrollservern in dieser Ukraine und Estland herstellt – von denen manche aus dem zwölfter Monat des Jahres 2019 stammen – und aufwärts weitere Befehle wartet, die zur Versorgung von zusätzliche Schadsoftware aufwärts den kompromittierten Systemen.

„WIRTE hat sein Toolset und seine Funktionsweise modifiziert, um droben verdongeln längeren Zeitraum heimlich zu bleiben. Living-off-the-land (LotL)-Techniken sind eine interessante neue Komplement ihrer TTPs“, sagte Yamout. “Die Verwendung interpretierter Sprach-Schadsoftware wie VBS- und PowerShell-Skripte bietet im Unterschied zu den anderen Untergruppen von Gaza Cybergang die vielseitige Verwendbarkeit, ihr Toolset zu auf den neuesten Stand bringen und statische Erkennungskontrollen zu vermeiden.”



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top