تم استهداف الحكومات والكيانات الدبلوماسية والمنظمات العسكرية وشركات المحاماة والمؤسسات المالية الموجودة في الشرق الأوسط من قبل قراصنة WIRTE ، كجزء من حملة برامج ضارة خفيّة بدأت في وقت مبكر من عام 2019 من خلال استخدام مستندات Microsoft Excel  و Word الضارة.

وعزت شركة الأمن السيبراني الروسية كاسبرسكي Kaspersky بكل ثقة هذه الهجمات إلى مجموعة قرصنة اسمها WIRTE. مشيرة إلى أن عمليات التطفل كانت تحدث عبر جداول بيانات مخفية داخل برامج MS Excel، يتم من خلالها اسقاط البرنامج الخبيث وتنفيذ التعليمات البرمجية العشوائية الخاصة بالمهاجمين على الجهاز المصاب.

في سياق متصل، كشف التحليل الذي طال حملة البرامج الضارة ومجموعة الأدوات والأساليب التي استخدمها المهاجمون بأنه لمجموعة WIRTE صلات مع مجموعة أخرى ذات دوافع سياسية تسمى Gaza Cybergang. وبحسب ما أفاد الباحثون المسؤولون عن التحليل، يبدو أن الكيانات المتضررة تنتشر في جميع أنحاء أرمينيا وقبرص ومصر والأردن ولبنان وفلسطين وسوريا وتركيا.

 

كاسبرسكي تفسر عمل قراصنة WIRTE

من جهته، قال الباحث في كاسبرسكي ماهر ياموت: “يستخدم مشغلو WIRTE برامج بسيطة وعامة إلى حد ما لنقل الملفات (TTP) ، مما سمح لهم بالبقاء غير مكتشفين لفترة طويلة من الزمن”. وأضاف: “استخدمت المجموعة الفرعية المشتبه بها من غزة Cybergang أساليب بسيطة – لكنها فعالة – لمهاجمة ضحاياها، أفضل من نظرائها المشتبه بهم.”

يتضمن تسلسل العدوى الذي لاحظته Kaspersky استخدام مستندات Microsoft Office الخادعة التي تنشر Visual Basic Script (VBS) ، والتي يُحتمل أن يتم تسليمها من خلال رسائل البريد الإلكتروني التصيدية الاحتيالية التي تنشر أخيار مزيفة تزعم أنها تتعلق بالأمور الفلسطينية أو غيرها من الموضوعات الشائعة المصممة خصيصًا لاستهداف الضحايا.

ويوضح ياموت: “قامت WIRTE أيضاً بتعديل مجموعة أدواتها وطريقة عملها لتبقى متخفية لفترة أطول من الوقت. فتقنيات العيش خارج الأرض (LotL) هي إضافة جديدة مثيرة للاهتمام إلى الـ TTPs الخاصة بهم، بالإضافة إلى استخدام نصوص VBS وPowerShell، على عكس المجموعات الفرعية الأخرى في غزة Cybergang، مما يضيف مرونة كبيرة إلى تحديث مجموعة الأدوات المستخدمة لتنفيذ الهجمات، بحيث تصبح قادرة على تجنب أنظمة البرامج الأمنية”.