کمیته رکن چهارم – بررسیهای جدید نشان میدهد که گروه سایبری WIRTE با استفاده از زنجیرهای پیچیده شامل AshenLoader و بدافزار جاسوسی AshTag، نهادهای دولتی و دیپلماتیک در خاورمیانه را از سال ۲۰۲۰ هدف قرار داده است. پژوهشگران امنیتی این گروه را با نام Ashen Lepus ردیابی میکنند که همچنان در دوران درگیریهای منطقهای فعال باقی مانده است.
به گزارش کمیته رکن چهارم، تحلیل نمونههای ثبتشده نشان میدهد که اهداف جدید این گروه کشورهایی مانند عمان و مراکش را نیز شامل میشود. روش حمله از طریق ایمیلهای فیشینگ با محتوای ژئوپلیتیکی آغاز میشود که گیرنده را به دانلود فایل آلوده از منابع اشتراکگذاری سوق میدهد. فایل اجرایی باز شده، DLL مخرب AshenLoader را سایدلود کرده و با حفظ ظاهر فریبنده، ارتباط با سرورهای مهاجم را برقرار میکند.
در ادامه، دو مؤلفه دیگر از جمله AshenStager برای بارگذاری AshTag بهکار گرفته میشود. این بدافزار .NET در قالب ابزار جعلی VisualServer اجرا شده و برای پایداری، دسترسی از راه دور و سرقت اطلاعات طراحی شده است. مهاجمان از آن برای دریافت اسناد حساس قربانی و انتقال آنها از طریق Rclone استفاده کردهاند.
گزارشها نشان میدهد که گروه WIRTE وابسته به خوشههای سایبری مانند Gaza Cyber Gang است و با گروههایی چون Molerats و APT-C-23 اشتراکات فنی و اهداف مشترک دارد. این گروه پیشتر نیز با بدافزارهای دیگری مانند SameCoin در حملات مخرب علیه اهداف منطقهای فعال بوده است.
کمپینهای WIRTE در شرایطی که فعالیت سایر گروهها کاهش یافته، همچنان ادامه دارد و از ابزارهای پیچیده برای دور زدن شناساییها بهره میبرد. تحلیلگران بر این باورند که هدف اصلی این عملیاتها، دستیابی به اطلاعات دیپلماتیک و استراتژیک در سطوح بالا بوده است.
