维特黑客集团的目标是中东的政府、法律和金融实体

政府、外交机构、军事组织、律师事务所和主要位于中东的金融机构早在2019使用恶意微软Excel和Word文档就成为了秘密恶意软件活动的一部分。
俄罗斯网络安全公司卡巴斯基(Kaspersky)高度自信地将这些攻击归因于名为威特(WIRTE)的威胁行为者,添加入侵涉及“MS Excel Dropper,使用隐藏的电子表格和VBA宏删除其第一阶段植入”,这是一个Visual Basic脚本(VBS),具有收集系统信息和执行攻击者在受感染机器上发送的任意代码的功能。
对这场运动以及对手使用的工具集和方法的分析也导致研究人员以低信心得出结论,认为维特集团与另一个被称为加沙网络帮派的有政治动机的集体有联系。受影响的实体分布在亚美尼亚、塞浦路斯、埃及、约旦、黎巴嫩、巴勒斯坦、叙利亚和土耳其。
卡巴斯基研究人员马赫尔·亚穆特说:“WIRTE操作员使用简单且相当常见的TTP,这使得他们能够在很长一段时间内不被发现。”。“加沙网络帮派的这个可疑小组使用了简单而有效的方法,以比可疑同伙更好的OpSec来向受害者妥协。”
卡巴斯基观察到的感染序列涉及部署Visual Basic脚本(VBS)的诱骗Microsoft Office文档,这些文档可能通过据称与巴勒斯坦事务和其他针对目标受害者的趋势主题有关的矛式网络钓鱼电子邮件传递。

Excel Dropper则被编程为执行恶意宏,以便在收件人的设备上下载并安装名为Ferrocious的下一阶段植入程序,而Word document Dropper则利用VBA宏下载相同的恶意软件。由VBS和PowerShell脚本组成的“凶猛滴管”利用一种叫做COM劫持的“陆地生存”(LotL)技术来实现持久性,并触发名为LitePower的PowerShell脚本的执行。
这个LitePower是一个PowerShell脚本,充当下载程序和辅助阶段,连接到位于乌克兰和爱沙尼亚的远程命令和控制服务器—;其中一些可以追溯到2019年12月—;并等待可能导致在受损系统上部署额外恶意软件的进一步命令。
亚穆特说:“维特修改了他们的工具集和操作方式,以便在更长时间内保持隐身状态。陆地生活(LotL)技术是他们TTP的一个有趣的新补充。”。“使用解释语言恶意软件,如VBS和PowerShell脚本,与其他Cybergang子组不同,增加了更新工具集和避免静态检测控制的灵活性。”