Analyse de la menace
/
Cybercriminalité
/
Analyse de la menace
Cybercriminalité

WIRTE : à la recherche du temps perdu

OWN-CERT
-
7/2/2025
Dans un contexte de tensions et d’une redéfinition de l’équilibre des pouvoirs au Moyen-Orient, le OWN-CERT a analysé une campagne ciblant des personnes arabophones.OWN Security

Dans un contexte de tensions et d’une redéfinition de l’équilibre des pouvoirs au Moyen-Orient, le OWN-CERT a analysé une campagne ciblant des personnes arabophones.

Synthèse

  • Le OWN-CERT a trouvé plusieurs échantillons d’archives malveillantes ciblant des personnes arabophones, et distribuant un loader personnalisé.
  • Cette activité est imputée avec une confiance forte au groupe “Wirte”, basé sur les TTPs de cette campagne, ainsi qu’un chevauchement d’infrastructure.
  • Le loader personnalisé utilise une implémentation de Tiny Encryption Algorithm (TEA) ainsi que de base64 pour chiffrer des chaînes de caractères importantes dans le logiciel malveillant.
  • Le loader communique avec le serveur de commande et de contrôle en envoyant une chaîne de caractères encodée avec “XOR” et contenant des informations sur le système compromis.

Il semble que les changements importants qui ont eu lieu au Moyen-Orient en 2024 et qui continuent de remodeler la région trouvent leur origine dans l'opération « Tufan al-Aqsa » menée par le Hamas le 7 octobre.  

Cette opération a entraîné l'Iran et le Hezbollah dans un conflit avec Israël en soutien – aussi bien verbal que militaire – au Hamas à Gaza et, depuis, 2024 a marqué une période charnière pour le Moyen-Orient.

L'Iran et son allié libanais, le Hezbollah, ont été affaiblis par leurs confrontations répétées avec Israël, au point de priver leur protégé Bachar al-Assad de leurs troupes, ce qui a – entre autres facteurs – permis à Hayat Tahrir al-Cham (HTS), un groupe islamiste combattant le régime syrien, de prendre le pouvoir en quelques jours au début du mois de décembre 2024.

Après la chute d'al-Assad, Israël a envahi la région syrienne de Qouneitra (Golan) tout en concluant un accord de cessez-le-feu avec le Hamas le 15 janvier 2025. D'autre part, la Turquie – un soutien présumé de HTS – tente de résoudre sa crainte d’une opposition kurde en Turquie sur le territoire syrien.  

Le OWN-CERT avait anticipé que ces évolutions et ruptures pourraient déclencher des campagnes d'espionnage et de collecte d'informations dans la région et a développé plusieurs heuristiques en vue de détecter d’éventuelles opérations en ligne.

Le OWN-CERT a détecté une campagne distribuant un document PDF menant à un partage Dropbox qui dépose une archive contenant une bibliothèque dynamique (DLL) et un document PDF en arabe concernant le compte rendu d’une réunion stratégique d'un groupe de travail sur la sécurité. La campagne semble viser les acteurs régionaux en charge des questions de sécurité et de défense ainsi que des négociations diplomatiques.

Réunion stratégique du groupe de travail sur la sécurité

Le 1er janvier 2025, une archive RAR a été téléversée sur VirusTotal et AnyRun. Cette archive est nommée “الاجتماع الاستراتيجي لمجموعة العمل الامني rar” soit "Réunion stratégique du groupe de travail sur la sécurité.rar" et a été téléversée depuis l'Égypte.

Cette archive contient trois fichiers :

  • الاجتماع الاستراتيجي لمجموعة العمل الامني.exe (un fichier exécutable ayant le même nom que l’archive).
  • wtsapi32.dll (une DLL).
  • Document (un fichierPDF).
Figure 1 : Contenu de l’archive. Source : OWN-CERT

Le fichier exécutable "الاجتماع الاستراتيجي لمجموعة العمل الامني exe" est une version légitime renommée de "BDEUISRV.DLL", une bibliothèque dynamique utilisée pour déverrouiller BitLocker depuis une interface graphique.Cependant, la bibliothèque "wtsapi32.dll" présente dans l’archive n’est pas une version légitime de la bibliothèque Windows du même nom utilisée pour des sessions de bureau ou de terminaux à distance.

Lors de son exécution, l’exécutable légitime charge la bibliothèque malveillante "wtsapi32.dll" depuis le même dossier. Cette technique connue sous le nom de “DLLSide-Loading” peut permettre de contourner les mesures de sécurité mises en œuvre, telles que les antivirus ou les EDR mal configurés.

Une fois exécuté, le programme malveillant charge le dernier fichier présent dans l’archive "Document". Ce fichier est un PDF écrit avec un bon niveau d’arabe et semble être un compte rendu de réunion concernant des questions de sécurité et de coopération internationale impliquant les forces de sécurité palestiniennes et de multiple délégations internationales (ONU, UE, DCAF, etc.).

Le document évoque des sujets tels que :

  • Le conflit israélo-palestinien,
  • Le besoin de support des forces de sécurité Palestiniennes,
  • Les défis humanitaires dans la bande de Gaza,
  • Le rôle des acteurs internationaux offrant leur support financier et logistique.

Ce fichier PDF est un document leurre utilisé pour donner de la crédibilité à la campagne en faisant croire à la victime qu'elle a ouvert un authentique document PDF, alors que des activités malveillantes se déroulent en arrière-plan.

Le fichier "wtsapi32.dll" est un dropper, autrement dit il récupère une charge utile encodée depuis un serveur de commande et de contrôle (C2), la décode et l’injecte dans la mémoire de l’ordinateur ciblé. La plupart des chaînes de caractère utilisées (adresse du serveur de commande et de contrôle,URL, ...) sont encodées en base64 et chiffrées avec l’algorithme "TEA" (Tiny Encryption Algorithm). Ce dernier est un algorithme de chiffrement par blocs léger, rapide et simple, facile à mettre en œuvre mais vulnérable aux attaques cryptographiques en raison de sa simplicité.

Le OWN-CERT a pu retrouver la clé codée en dur dans le code source du malware, et sa valeur est le nom de la DLL malveillante : "wtsapi32.dll".

Figure 2 : Implémentation de TEA. Source : OWN-CERT

Dans le logiciel malveillant, cette fonction est associée à un simple décodage "base64" pour déchiffrer les données.

Le dropper s'articule autour de deux fonctions principales. La première est la fonction de communication avec le serveur de commande et de contrôle.

Figure 3 : Initialisation du serveur de commande et de contrôle.
Source : OWN-CERT

Dans un premier temps, la fonction décode une chaîne de caractères correspondant à l’adresse du serveur de commande et de contrôle (status.techupinfo[.]com) avant d’extraire le code de la réponse HTTP de la requête effectuée.

Dans le cas où le code de la réponse HTTP est "404" le processus est stoppé, cependant si la réponse HTTP diffère de "404" il essaie d’analyser la charge utile reçue.

Figure 4 : Analyse de la réponse. Source : OWN-CERT

Le programme va ensuite déchiffrer les balises ouvrantes et fermantes (<headerp> et </headerp>) après avoir vérifié que le code HTTP renvoyé est bien 200.

La charge utile est ensuite déchiffrée avec la même fonction (base64 et TEA) avant d’être injectée dans la mémoire de l’ordinateur de la victime.

Figure 5 : Déchiffrement et exécution de la charge utile.
Source : OWN-CERT

Une fonction retardant les communications avec le serveur de C2 est aussi implémentée soit en cas d’échec de la communication avec le serveur, soit après l’exécution de la charge utile dans le but de contourner la détection (par exemple, un passage en bac à sable).

Figure 6 : Implémentation de la fonction de retard d’exécution. Source : OWN-CERT

La seconde fonction principale est utilisée afin de requêter des informations sur l’hôte telles que le nom d’utilisateur, le nom de la machine, le processeur utilisé, la version du système d’exploitation installée ou encore le domaine auquel appartient la machine. Ces informations sont ensuite concaténées dans une chaîne de caractères et obscurcies avec un mélange de XOR et de base64.

Figure 7 : Chaîne de caractère d’identification. Source : OWN-CERT

Cette chaîne concaténée est transmise au serveur de commande et de contrôle vers l’URL suivante :

status.techupinfo[.]com/api/v1.0/account?token=<encoded_string>

Cette fonction est sans doute utilisée par le mode opératoire afin d’identifier les machines infectées. Il est possible que la charge finale téléchargée dans cette campagne soit un outil de post exploitation tel que Havoc. Si cette hypothèse n’a pu être confirmée par le OWN-CERT en raison de l’indisponibilité de l’infrastructure de la charge finale lors de l’analyse, plusieurs pivots ainsi que d’autres investigations menées par des chercheurs montrent l’utilisation de Havoc pour les activités de post-compromission du mode opératoire.

Pivot et attribution

Le OWN-CERT a été en mesure d'identifier deux autres échantillons, que nous supposons avec une confiance élevée être liés à la même campagne, puisque seuls deux éléments les distinguent : d’une part des variables différentes encodées pour le serveur de C2, et d’autre part l'utilisation de différents user-agents.

L’un des deux autres échantillons avait comme serveur de commande et de contrôle auth.techupinfo[.]com tandis que l’autre utilisait un serveur avec un nom relativement similaire cdn.techpointinfo[.]com.

Aucun pivot n’a pu être réalisé à partir des données d’enregistrement de l’infrastructure. Par exemple, les adresses courriel ayant servi à l’enregistrement des domaines étaient des adresses Protonmail avec un nom générique et ayant à chaque fois été utilisées pour enregistrer uniquement un nom de domaine.

  • tannondmurphy[@]proton[.]me
  • ainsleeblackwood[@]proton[.]me

Le OWN-CERT a cependant réussi à pivoter sur l’une des URLs présentes dans un échantillon :

hxxps://support-api.financecovers[.]com/api/v1.0/account?token=ChYOAQlUAiApPyYnLiNDcx4wVV8pRU0yI3UYUEB

Le domaine financecovers[.]com a été publié par CheckPoint dans un rapport datant de novembre 2024, montrant lesTTPs du mode opératoire Wirte, un groupe affilié au Hamas. Ce domaine a aussi été enregistré avec une adresse générique en @proton[.]me.

Les TTPs explicitées dans ce rapport sont très similaires à la campagne analysée par le OWN-CERT, avec une archive RAR téléchargée depuis un fichier PDF dans lequel se trouve un lien malveillant. Dans cette archive, un exécutable légitime utilise la technique de DLL Side-Loading afin d’exécuter le loader et d’ouvrir un PDF leurre qui lui aussi cible des personnes arabophones ayant un intérêt pour la situation géopolitique en Palestine. La charge utile finale est un implant Havoc, communiquant avec un serveur de C2 Havoc permettant des actions de post exploitation sur les appareils compromis.

Wirte efface aussi les données

Wirte est également connu pour ses opérations de sabotage., Le groupe a notamment utilisé des logiciels malveillants de type "wiper" qui diffusent parfois des fonds d'écran ou des vidéos propalestiniens. En février 2024, @NicoleFishi19 sur X, une chercheuse d'IntezerLabs, a publié l’analyse d'une campagne nommée "SameCoin" qui se fait passer pour le NSD (National Cyber Directorate) israélien et déploie de la propagande anti-guerre ainsi qu’une publicité diffamatrice contre Benyamin Netanyahou.

Un courriel malveillant a été diffusé, incitant la victime à mettre à jour son système contre des vulnérabilités récemment découvertes. Le courriel contenait plusieurs liens légitimes redirigeant vers le site web légitime du NCD, tandis que deux autres liens redirigeaient vers un site web malveillant.

Selon le lien malveillant choisi par la victime, le fichier téléchargé était soit une archive (pour les systèmes Windows), soit un APK (pour les appareils Android).

L'archive contenait un exécutable qui servait à la fois de wiper, et de loader pour des composants intégrés tels qu'un un fond d'écran, une vidéo de propagande et un outil de mouvement latéral codé en .NET.

Le fichier APK a une approche plus directe de la suppression des données, en les remplaçant par des zéros.

Figure 8 : Fond d’écran téléversé sur la machine victime. Source : Checkpoint

Des TTPs similaires ont aussi été analysées par blu3eye en octobre 2024, durant une campagne usurpant l’identité d’ESET et ciblant Israël.

Le programme effectuait une requête vers oref.org[.]il, un site accessible uniquement depuis Israël afin de déterminer si la victime se situe bien dans ce pays. Dans cette campagne, à l’image de “SameCoin” un loader exécutait un wiper, changeait le fond d’écran et jouait une vidéo de propagande.

Victimologie

D’autres versions de BDEUISRV.DLL renommées en arabe ont été observées par le OWN-CERT. L’une d’elle est intitulée "1302 وزير الدفاع التركي غيرنا استراتيجيتنا في مكافحةالتنظيمات الارهابية exe" soit "le ministre de la Défense turc changeons nos stratégies en matière de combat contre le terrorisme.exe". Contrairement aux autres nommages et comme le montre la traduction en français, ce nom semble à première vue défaillant puisque la conjugaison à la première personne du pluriel du verbe changer “غيرنا” ne correspond pas au sujet "le ministre de la défense" qui appelle une troisième personne du singulier. Une première hypothèse serait que le nom omet deux points (:) ouvrant une citation. Une autre hypothèse non vérifiée serait que l’exécutable aurait été préparé par des services non arabophones pour le groupe.

L'autre version de BDEUISRV.DLL " مذكرةحول اخر التطورات في مفاوضات وقف إطلاق النار وتبادل الأسرى.exe " peut quant à elle être traduite par “Mémorandum sur les derniers développements concernant les négociations sur le cessez-le-feu et l'échange de prisonniers.exe”.

Ces deux titres suggèrent que l'acteur de la menace derrière la campagne vise d'une part les pays arabes impliqués dans les négociations avec la Turquie, qui a acquis une position prédominante en tant que médiateur et puissance militaire, et d'autre part les pays arabes participant aux négociations avec Israël sur le dossier de Gaza, puisque le "cessez-le-feu" et l' "échange de prisonniers" pourraient faire référence aux discussions qui ont eu lieu entreIsraël, le Hamas, les États-Unis et le Qatar avant l’accord du 15 janvier 2025.

Le fichier "1302 وزيرالدفاع التركي غيرنا استراتيجيتنا في مكافحة التنظيمات الارهابيةexe" ("le ministre de la Défense turc "changeons nos stratégies" en matière de combat contre le terrorism.exe") a été téléversé le 6 décembre 2024 depuis la Malaisie et "مذكرة حول اخرالتطورات في مفاوضات وقف إطلاق النار وتبادل الأسرى.exe" ("Mémorandum sur les derniers développements dans les négociations sur le cessez-le-feu et l'échange de prisonniers.exe")  a quant à lui été téléversé le 16 janvier 2025 depuis la Jordanie.

Quant aux autres échantillons de logiciels malveillants, ils ont été téléversés depuis la Malaisie et le Canada.  

La localisation “Malaisie” pourrait indiquer un point de sortie d’un VPN, une autre hypothèse est que des Malaisiens arabophones auraient reçu le document du leurre.  

Recommendation

Pour protéger votre réseau de ce type d'infection, le OWN-CERT recommande l'utilisation d'un EDR qui peut détecter les techniques de type DLL Side Loading.

La surveillance des processus légitimes effectuant des connexions HTTP/HTTPS non désirées permet d'identifier l'activité de ce malware ainsi que la surveillance des requêtes faites à l'adresse /api/v1.0/account?token= si cette URI n’est pas utilisée par des applications dans votre organisation.

Détection des fichiers exécutables qui utilisent cette implémentation spécifique de TEA et de base64 :

 rule Detect_TEA_Variants

{

    meta:

        description = "Detects executable implementing TEA and base64 strings"

        author = "OWN-CERT"

        reference = "https://www.tayloredge.com/reference/Mathematics/TEA-XTEA.pdf"

hash = "0777667c3b67f1bab74f08569267d4d31cd12487ffae9cd6f72981682d5d3f39"

        creation_date = "2025-01-30"

        last_update = "2024-01-30"

        TLP = "TLP:CLEAR"

    strings:

        // TEA-specific constants (sum and delta)

        $tea_sum   = { 20 37 EF C6 }

        $tea_delta = { 47 86 C8 61 }

        // TEA decryption operations (shift + xor)

        $tea_bitwise1 = { C1 E0 04 C1 E9 05 33 C8 }

        $tea_bitwise2 = { C1 E8 05 C1 E0 04 33 C2 }

        // TEA loop for 32 rounds

        $tea_loop = { BB 20 00 00 00 }

        // Function calls leading to TEA

        $tea_call1 = { E8 ?? ?? ?? ?? 8B D8 BA 20 37 EF C6 }

        $tea_call2 = { E8 ?? ?? ?? ?? 8B F8 33 C0 89 7D FC }

        // Second TEA function pattern (string processing)

        $string_loop = { 8A 06 46 84 C0 75 F9 }

        $base64 = { 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 30 31 32 33 34 35 36 37 38 39 2B 2F }

    condition:

        (all of ($tea_sum, $tea_delta, $base64)) and (any of ($tea_bitwise*, $tea_loop)) or (any of ($tea_call*, $string_loop)) 

Sources

  • https://blu3eye.gitbook.io/malware-insight/eset-wiper
  • https://x.com/NicoleFishi19/status/1756936902735806644  https://research.checkpoint.com/2024/hamas-affiliated-threat-actor-expands-to-disruptive-activity/

Composé d'une équipe pluridisciplinaire, le OWN-CERT réalise plusieurs activités : détection des menaces, analyse forensique, investigation et analyses sur les écosystèmes cybercriminels, identification et surveillance des infrastructures des modes opératoires adverses, analyses géopolitiques et juridiques, etc.
Nos analystes maîtrisent plusieurs langues dont le Russe, le Chinois, l’Arabe, le Coréen, le Roumain, l’Allemand, l’Espagnol ou l’Italien.

Vous souhaitez en savoir plus sur les services du OWN-CERT ? Contactez-nous.

Partager l'article :
Copié
D’autres contenus
13/12/2024
CVE-2024-40711: Logs analysis
Réponse à incident
Vulnérabilité
14/10/2024
Etat de l’art de la compromission d’un environnement AD CS - Partie 2
Vulnérabilité
23/9/2024
Moscou s'en mêle, décryptage des opérations informationnelles russes à travers les outils et méthodes de la CTI
Désinformation
Analyse de la menace
Réglementation DORA - TLPT
18/9/2024
TLPT : Les tests de pénétration fondés sur la menace (DORA)
Réglementation
Analyse de la menace
21/8/2024
Etat de l’art de la compromission d’un environnement AD CS - Partie 1
Vulnérabilité

Your OWN cyber expert.

Contacter
+33(0)805-690-234