s0680-litepower - RunkIntel

# LitePower > Tipo: **malware** · S0680 · [MITRE ATT&CK](https://attack.mitre.org/software/S0680) ## Descrição [[s0680-litepower|LitePower]] é um downloader e malware de segundo estágio utilizado pelo grupo [[g0090-wirte|WIRTE]] desde pelo menos 2021 em campanhas de espionagem cibernética contra governos e organizações financeiras no Oriente Médio. O WIRTE é um ator de ameaça associado ao Hamas e opera com motivação de espionagem geopolítica, focando em alvos palestinos, israelenses e de governos árabes. O LitePower executa extensiva descoberta do ambiente antes de prosseguir, incluindo informações do sistema ([[t1082-system-information-discovery|T1082]]), usuário e proprietário ([[t1033-system-owneruser-discovery|T1033]]), softwares de segurança instalados ([[t1518-001-security-software-discovery|T1518.001]]) e armazenamento local ([[t1680-local-storage-discovery|T1680]]). O downloader usa PowerShell ([[t1059-001-powershell|T1059.001]]) para baixar e executar payloads adicionais, comúnica-se com C2 via protocolos web ([[t1071-001-web-protocols|T1071.001]]) e exfiltra dados coletados via [[t1041-exfiltration-over-c2-channel|T1041]]. Capturas de tela periódicas ([[t1113-screen-capture|T1113]]) são realizadas para inteligência operacional. A persistência é garantida via Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]). O LitePower opera como componente intermediário que prepara o ambiente para implantação de payloads mais destrutivos ou de exfiltração de longo prazo. A atribuição ao [[g0090-wirte|WIRTE]] foi estabelecida pelo ESET com base em sobreposição de infraestrutura C2 e TTPs consistentes com campanhas anteriores do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1106-native-api|T1106 - Native API]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0090-wirte|WIRTE]] ## Detecção - **[[ds-0017-command|Command Execution]]** - Monitorar execução de scripts PowerShell com parâmetros de download e execução de payloads remotos, especialmente iniciados por processos de documentos Office ou e-mail. - **[[ds-0009-process|Process Creation]]** - Detectar processos filhos de aplicativos de e-mail ou Office que iniciam PowerShell com flags de bypass de política de execução (`-ExecutionPolicy Bypass`, `-EncodedCommand`). - **[[ds-0029-network-traffic|Network Traffic Content]]** - Alertar para comúnicações HTTP de processos não-navegadores com user-agents genéricos ou padrões de polling regulares com intervalos fixos. ```sigma title: LitePower PowerShell Downloader Execution status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\powershell.exe' CommandLine|contains: - '-EncodedCommand' - 'DownloadString' - 'IEX' ParentImage|contains: - '\OUTLOOK.EXE' - '\WINWORD.EXE' condition: selection falsepositives: - Legitimaté administrative scripts initiated from Office macros level: high tags: - attack.execution - attack.t1059.001 - code/distill ``` ## Relevância LATAM/Brasil O grupo [[g0090-wirte|WIRTE]], operador do LitePower, foca em entidades governamentais e financeiras do Oriente Médio, mas a técnica de downloader PowerShell com geolocalização não é exclusiva desta ameaça. A abordagem modular e furtiva do LitePower é consistente com tendências de downloaders usados contra órgãos governamentais brasileiros e organizações financeiras da região. ## Referências - [MITRE ATT&CK - S0680](https://attack.mitre.org/software/S0680)