Nhóm tin tặc WIRTE nhắm mục tiêu vào chính phủ, luật pháp và các tổ chức tài chính ở Trung Đông

17:13 | 24/12/2021
Phương Thanh (Theo The Hacker News)

Chính phủ, các tổ chức ngoại giao, tổ chức quân sự, công ty luật và tổ chức tài chính ở Trung Đông đã bị nhắm mục tiêu trong chiến dịch sử dụng các tài liệu Microsoft Excel và Word độc hại kể từ nằm 2019.

Công ty an ninh mạng Kaspersky của Nga cho biết, các cuộc tấn công này do một nhóm có tên WIRTE, liên quan đến kiểu tấn công sử dụng Microsoft Excel dropper. Nhóm này sử dụng bảng tính ẩn và Macro VBA để tải về Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý trên máy bị nhiễm mã độc.

Qua các phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà kẻ tấn công sử dụng, các nhà nghiên cứu kết luận rằng nhóm WIRTE có mối liên hệ với tổ chức gián điệp mạng Gaza Cybergang hoạt động ở Trung Đông và Trung Á. Các mục tiêu bị nhắm đến trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, Palestine, Syria và Thổ Nhĩ Kỳ.

Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “WIRTE sử dụng các giao thức truyền văn bản (Text transfer protocol - TTP) đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. Các phương pháp đơn giản nhưng dễ lừa các nạn nhân mắc bẫy".

Theo Kaspersky, việc giả mạo các tài liệu Microsoft Office để triển khai VBS có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.

Excel dropper được lập trình để thực thi các macro độc hại, sau đó tải xuống và cài đặt mã độc Ferocious trên thiết bị của người nhận, trong khi Word dropper sử dụng các macro VBA để tải xuống phần mềm đó. Ferocious dropper sử dụng một kỹ thuật được gọi là COM hijacking để thực thi tập lệnh PowerShell có tên là LitePower.

LitePower hoạt động như trình tải xuống và truyền tin kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estoni. Sau đó chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.

Yamout cho biết: "WIRTE đã sửa đổi bộ công cụ và cách hoạt động của chúng để có thể hoạt động lén lút trong một thời gian dài. Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch như tập lệnh VBS và PowerShell nhằm tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh bị phát hiện".