Chính phủ, các tổ chức ngoại giao, tổ chức quân sự, công ty luật và tổ chức tài chính chủ yếu ở Trung Đông đã bị nhắm mục tiêu như một phần của chiến dịch phần mềm độc hại lén lút kể từ năm 2019 bằng cách sử dụng các tài liệu Microsoft Excel và Word độc hại.
Công ty an ninh mạng Kaspersky của Nga đã quy kết các cuộc tấn công với độ tin cậy cao là do một kẻ đe dọa có tên WIRTE, thêm vào đó là các cuộc xâm nhập liên quan đến “MS Excel dropper sử dụng bảng tính ẩn và macro VBA để thả phần cấy ghép giai đoạn đầu của chúng”, đó là Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý được gửi bởi những kẻ tấn công trên máy bị nhiễm.
Một phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà đối thủ sử dụng cũng khiến các nhà nghiên cứu kết luận với độ tin cậy thấp rằng nhóm WIRTE có mối liên hệ với một tập thể có động cơ chính trị khác được gọi là Gaza Cybergang. Các thực thể bị ảnh hưởng trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, palestine, Syria và Thổ Nhĩ Kỳ.
Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “Các nhà khai thác WIRTE sử dụng các TTP đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. “Nhóm con bị nghi ngờ này của Gaza Cybergang đã sử dụng các phương pháp đơn giản nhưng hiệu quả để thỏa hiệp các nạn nhân của nó với OpSec tốt hơn so với các đối tác bị nghi ngờ của nó.”
Trình tự lây nhiễm mà Kaspersky quan sát được liên quan đến việc giả mạo các tài liệu Microsoft Office triển khai Visual Basic Script (VBS), có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến các vấn đề Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.
Về phần mình, các bộ nhỏ giọt Excel được lập trình để thực thi các macro độc hại để tải xuống và cài đặt bộ cấy ghép giai đoạn tiếp theo có tên là Ferocious trên thiết bị của người nhận, trong khi bộ nhỏ giọt tài liệu Word sử dụng các macro VBA để tải xuống cùng một phần mềm độc hại. Bao gồm các tập lệnh VBS và PowerShell, ống nhỏ giọt Ferocious sử dụng một kỹ thuật sống-off-the-land (LotL) được gọi là COM chiếm quyền điều khiển để đạt được sự bền bỉ và kích hoạt việc thực thi tập lệnh PowerShell có tên LitePower.
LitePower này, một tập lệnh PowerShell, hoạt động như một trình tải xuống và máy xếp thứ cấp kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estonia – một số trong số đó có từ tháng 12 năm 2019 – và đang chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.
Yamout cho biết: “WIRTE đã sửa đổi bộ công cụ của họ và cách chúng hoạt động để có thể hoạt động lén lút trong thời gian dài. “Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch chẳng hạn như tập lệnh VBS và PowerShell, không giống như các nhóm con Gaza Cybergang khác, tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh các điều khiển phát hiện tĩnh.”
.
