g0090-wirte - RunkIntel

# WIRTE ## Visão Geral **WIRTE** é um subgrupo do [[g0040-gaza-cybergang|Gaza Cybergang]] com suspeita de afiliação ao Hamas, ativo desde pelo menos agosto de 2018. O grupo combina espionagem cibernética direcionada ao Oriente Médio com operações destrutivas - marcando a transição de um ator apenas de espionagem para um grupo capaz de ataques de sabotagem com o wiper [[samecoin|SameCoin]]. O grupo ficou notório por dois marcos operacionais em 2024: campanhas de spear-phishing altamente direcionadas usando o loader [[ironwind|IronWind]] contra o **governo israelense** no contexto do conflito em Gaza, e o deploy do SameCoin como wiper contra infraestrutura israelense em **fevereiro e outubro de 2024**. A técnica de **COM Object Hijacking** é uma das assinaturas do grupo para persistência furtiva. WIRTE é rastreado como **TA402** pela Proofpoint e identificado como subgrupo distinto do Gaza Cybergang - separado dos subgrupos Molerats (phishing) e APT-C-23. **Também conhecido como:** WIRTE, G0090, TA402, Gaza Cybergang Subgroup 3 ## Attack Flow - Espionagem e Sabotagem no Oriente Médio ```mermaid graph TB A["📧 Spear-phishing Politico T1566.001 - Anexo malicioso Documentos Office temáticos"] --> B["📄 Ferocious Dropper Excel XLL ou Word macro Primeiro estágio furtivo"] B --> C["⚙️ IronWind Loader Dropbox / OneDrive C2 COM Object Hijacking"] C --> D["🔒 Persistência Dupla T1547.001 Registry Keys T1218.010 Regsvr32"] D --> E["🕵️ LitePower Backdoor Reconhecimento + coleta Documentos diplomaticos"] E --> F["💥 SameCoin Wiper Sabotagem seletiva Infraestrutura israelense"] classDef phish fill:#c0392b,color:#fff,stroke:#922b21 classDef dropper fill:#e74c3c,color:#fff,stroke:#c0392b classDef loader fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef collect fill:#1a5276,color:#fff,stroke:#154360 classDef wiper fill:#922b21,color:#fff,stroke:#7b241c class A phish class B dropper class C loader class D persist class E collect class F wiper ``` > [!warning] Dupla Capacidade: Espionagem e Destruição > O WIRTE é raro por combinar espionagem sofisticada com capacidade destrutiva. O wiper SameCoin foi implantado em fevereiro e outubro de 2024, durante o conflito em Gaza - evidênciando que o grupo eleva o nível de ataque em resposta a eventos geopolíticos. Organizações com interesse em política do Oriente Médio devem monitorar indicadores de ambas as capacidades. ## Arsenal de Malware ### IronWind (Loader Principal - 2023-2024) O [[ironwind|IronWind]] é o loader de acesso inicial mais recente do WIRTE, introduzido em 2023: - **Distribuição:** via Microsoft OneDrive ou Dropbox - abuso de serviços legítimos para evitar detecção por reputação de domínio - **Técnica de persistência:** COM Object Hijacking (T1546.015) - modifica chaves do registro para interceptar chamadas COM legítimas - **Ofuscação:** strings criptografadas, anti-análise via verificação de ambiente - **Conexão:** loader para LitePower e ferramentas adicionais ### LitePower (Backdoor) O [[s0680-litepower|LitePower]] é o backdoor de segunda etapa característico do WIRTE: - Coleta de informações do sistema e enumeração de arquivos - Execução de comandos remotos via C2 HTTPS - Upload de arquivos de interesse para exfiltração ### Ferocious (Dropper) O [[s0679-ferocious|Ferocious]] é o dropper inicial usado em campanhas de 2021-2023: - Documento Excel com add-in XLL ou macro VBA - Baixa e executa payloads subsequentes (LitePower, Empire) - Mascarado como documentos relevantes ao conflito Israel-Palestina ### SameCoin (Wiper Destrutivo) O [[samecoin|SameCoin]] representa a evolução destrutiva do WIRTE: - Implantado em **fevereiro de 2024** e **outubro de 2024** contra alvos israelenses - Sobrescreve arquivos com dados aleatórios (capacidade de destruição de dados) - Alvos documentados: infraestrutura governamental e empresarial israelense - Distribuído via phishing disfarçado de atualização de software legítimo israelense ## Conexão com Gaza Cybergang ```mermaid graph TB A["Gaza Cybergang Ator Hamas-afiliado Oriente Medio desde 2012"] --> B["Molerats APT-C-23 subgrupo Phishing básico"] A --> C["WIRTE / TA402 Subgrupo sofisticado IronWind + SameCoin"] A --> D["APT-C-23 Android spyware Vigilancia mobile"] C --> E["Alvos Diplomaticos Oriente Medio 2018-presente"] C --> F["Capacidade Destrutiva SameCoin wiper 2024-presente"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#196f3d,color:#fff style F fill:#922b21,color:#fff ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos temáticos do conflito Gaza | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | XLL add-ins e macro Excel via Ferocious | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de payloads e comunicação C2 | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS como estágio inicial | | Regsvr32 | [[t1218-010-regsvr32\|T1218.010]] | Carrega DLLs maliciosas mascaradas | | Non-Standard Port | [[t1571-non-standard-port\|T1571]] | Comúnicações C2 em portas não convencionais | | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via chaves de registro | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS, Dropbox, OneDrive | | Match Legitimaté Resource | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Disfarce como software legítimo israelense | ## Campanhas Documentadas | Data | Campanha | Alvo | Ferramenta | |------|----------|------|------------| | Ago 2018 | Campanha inicial | Governo Oriente Médio | Poison Ivy, macro Office | | 2021-2022 | Phishing politico | PA, Jordânia, Egito | Ferocious + LitePower | | Mid-2023 | IronWind introduction | Múltiplos alvos diplomáticos | IronWind + Dropbox C2 | | Fev 2024 | Operação SameCoin | Infraestrutura israelense | SameCoin wiper | | Out 2024 | Segunda onda wiper | Alvos governamentais Israel | SameCoin segunda rodada | ## Relevância para o Brasil e LATAM O WIRTE tem **foco geográfico exclusivo no Oriente Médio** - sem evidência de campanhas contra alvos brasileiros ou latino-americanos. A relevância para o Brasil é indireta: - **Técnica de abuso de cloud (OneDrive/Dropbox):** replicável por qualquer grupo - organizações brasileiras devem monitorar uploads anômalos para serviços cloud em contextos corporativos - **COM Object Hijacking:** técnica de persistência avançada cada vez mais usada por atores de espionagem globais - relevante para detecção em ambientes Windows corporativos - **Wipers em contexto geopolítico:** padrão de grupos que elevam de espionagem para sabotagem durante conflitos - modelo que grupos LATAM podem adotar em cenários de crise > [!info] Monitoramento Indireto > Embora o WIRTE não mire o Brasil, a análise das técnicas de IronWind (COM hijacking + cloud C2) oferece inteligência defensiva aplicável em redes corporativas brasileiras. Organizações com presença no Oriente Médio devem implementar detecção de IronWind IoCs. ## Referências - [1](https://attack.mitre.org/groups/G0090/) MITRE ATT&CK - WIRTE G0090 - [2](https://www.welivesecurity.com/2021/11/18/targeted-attack-middle-east-using-wirte-implant/) ESET - Targeted Attack on the Middle East Using WIRTE Implant (2021) - [3](https://unit42.paloaltonetworks.com/ironwind-middle-east-spearphishing/) Unit 42 - IronWind: New Downloader Used by TA402 in Middle East Spearphishing (2023) - [4](https://www.secureworks.com/research/wirte-threat-group-targeting-middle-east) Secureworks - WIRTE Threat Group Targeting the Middle East (2019) - [5](https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-wirte-deploys-samecoin-wiper/) Check Point - Hamas-Affiliated WIRTE Deploys SameCoin Wiper (2024) - [6](https://apt.etda.or.th/cgi-bin/showcard.cgi?u=wirte) ETDA Thailand - WIRTE Threat Group Card