قامت مجموعة تهديد تجسس إلكتروني ناشئة بضرب أهداف في الشرق الأوسط وإفريقيا من خلال باب خلفي جديد يُطلق عليه اسم "Stegmap"، والذي يستخدم ما نادرًا ما يُرى إخفاء المعلومات تقنية لإخفاء التعليمات البرمجية الضارة في صورة مستضافة.
تظهر الهجمات الأخيرة أن المجموعة - التي تسمى Witchetty، والمعروفة أيضًا باسم LookingFrog - تعمل على تعزيز مجموعة أدواتها، وإضافة أساليب مراوغة متطورة، واستغلال ثغرات Microsoft Exchange المعروفة بروكسيشيل و ProxyLogon. لاحظ باحثون من شركة Symantec Threat Hunter أن المجموعة تقوم بتثبيت أغطية الويب على خوادم عامة، وتسرق بيانات الاعتماد، ثم تنتشر أفقيًا عبر الشبكات لنشر البرامج الضارة، كما كشفوا في بلوق وظيفة نشرت في 29 سبتمبر.
وقالوا إنه في الهجمات التي وقعت بين فبراير وسبتمبر، استهدف ويتشيتي حكومتي دولتين في الشرق الأوسط وبورصة دولة أفريقية في هجمات استخدمت الناقل المذكور أعلاه.
يتكون ProxyShell من ثلاثة عيوب معروفة ومصححة - CVE-2021-34473, CVE-2021-34523و CVE-2021-31207 - بينما ProxyLogon يتكون من اثنين، CVE-2021-26855 و CVE-2021-27065. وقد تم استغلال كلاهما على نطاق واسع من قبل جهات التهديد منذ الكشف عنهما لأول مرة في أغسطس 2021 وديسمبر 2020، على التوالي - وهي الهجمات التي تستمر حيث لا تزال العديد من خوادم Exchange دون تصحيح.
يُظهر نشاط Witchetty الأخير أيضًا أن المجموعة أضافت بابًا خلفيًا جديدًا إلى ترسانتها، يسمى Stegmap، والذي يستخدم تقنية إخفاء المعلومات - وهي تقنية خفية تخفي الحمولة في صورة لتجنب اكتشافها.
كيف يعمل الباب الخلفي لخريطة الوصمة
وقال الباحثون إن Witchetty واصلت في هجماتها الأخيرة استخدام أدواتها الحالية، ولكنها أضافت أيضًا Stegmap لتوضيح ترسانتها. وقالوا إن الباب الخلفي يستخدم تقنية إخفاء المعلومات لاستخراج حمولته من صورة نقطية، والاستفادة من هذه التقنية "لإخفاء التعليمات البرمجية الضارة في ملفات صور تبدو غير ضارة".
تستخدم الأداة أداة تحميل DLL لتنزيل ملف صورة نقطية يبدو أنه شعار Microsoft Windows قديم من مستودع GitHub. وقال الباحثون في منشورهم: "ومع ذلك، فإن الحمولة مخفية داخل الملف ويتم فك تشفيرها باستخدام مفتاح XOR".
وأشاروا إلى أنه من خلال إخفاء الحمولة بهذه الطريقة، يمكن للمهاجمين استضافتها على خدمة مجانية وموثوقة من غير المرجح أن ترفع علامة حمراء بكثير مقارنة بخادم القيادة والتحكم (C2) الذي يتحكم فيه المهاجم.
يستمر الباب الخلفي، بمجرد تنزيله، في القيام بأشياء خلفية نموذجية، مثل إزالة الدلائل؛ نسخ الملفات ونقلها وحذفها؛ بدء عمليات جديدة أو إنهاء العمليات الحالية؛ قراءة مفاتيح التسجيل أو إنشائها أو حذفها، أو تعيين قيم المفاتيح؛ وسرقة الملفات المحلية.
بالإضافة إلى Stegmap, وقال الباحثون إن Witchetty أضافت أيضًا ثلاث أدوات مخصصة أخرى - أداة مساعدة وكيل للاتصال بالقيادة والتحكم (C2)، وماسح ضوئي للمنافذ، وأداة مساعدة للاستمرار - إلى جعبتها.
مجموعة التهديد المتطورة
ويتشيتي أولا لفت انتباه الباحثين في ESET في أبريل. وحددوا المجموعة باعتبارها واحدة من ثلاث مجموعات فرعية من TA410، وهي عملية تجسس إلكترونية واسعة النطاق لها بعض الروابط بمجموعة Cicada (المعروفة أيضًا باسم APT10) والتي تستهدف عادةً المرافق الموجودة في الولايات المتحدة بالإضافة إلى المنظمات الدبلوماسية في الشرق الأوسط وإفريقيا، حسبما ذكر الباحثون. قال. المجموعات الفرعية الأخرى لـ TA410، كما تتبعها ESET، هي FlowingFrog وJollyFrog.
في النشاط الأولي، استخدم Witchetty قطعتين من البرامج الضارة — باب خلفي للمرحلة الأولى يُعرف باسم X4 وحمولة للمرحلة الثانية يُعرف باسم LookBack — لاستهداف الحكومات والبعثات الدبلوماسية والجمعيات الخيرية والمنظمات الصناعية/التصنيعية.
بشكل عام، تُظهر الهجمات الأخيرة ظهور المجموعة كتهديد هائل وذكي يجمع بين المعرفة بنقاط الضعف في المؤسسة وتطوير أدواتها المخصصة للقضاء على "الأهداف محل الاهتمام"، كما أشار باحثو سيمانتيك.
"إن استغلال نقاط الضعف على الخوادم العامة يوفر لها طريقًا إلى المؤسسات، في حين أن الأدوات المخصصة المقترنة بالاستخدام الماهر لتكتيكات العيش خارج الأرض تسمح لها بالحفاظ على وجود مستمر طويل الأمد في المنظمة المستهدفة". كتب في هذا المنصب.
تفاصيل الهجوم المحدد ضد وكالة حكومية
تكشف التفاصيل المحددة للهجوم على وكالة حكومية في الشرق الأوسط أن Witchetty يحافظ على مثابرته على مدار سبعة أشهر ويغوص داخل وخارج بيئة الضحية لتنفيذ نشاط ضار حسب الرغبة.
بدأ الهجوم في 27 فبراير، عندما استغلت المجموعة ثغرة ProxyShell لتفريغ ذاكرة عملية خدمة النظام الفرعي لسلطة الأمان المحلية (LSASS) - والتي تكون في Windows مسؤولة عن فرض سياسة الأمان على النظام - ثم استمر الهجوم من هناك .
على مدار الأشهر الستة التالية، واصلت المجموعة عمليات التفريغ؛ انتقلت أفقيا عبر الشبكة؛ استغلال كل من ProxyShell وProxyLogon لتثبيت أغطية الويب؛ تثبيت الباب الخلفي LookBack؛ تنفيذ برنامج PowerShell النصي الذي يمكنه إخراج آخر حسابات تسجيل الدخول على خادم معين؛ وحاول تنفيذ تعليمات برمجية ضارة من خوادم C2.
آخر نشاط للهجوم لاحظه الباحثون حدث في الأول من سبتمبر، عندما قام Witchetty بتنزيل ملفات بعيدة؛ وفك ضغط ملف مضغوط باستخدام أداة النشر؛ وقالوا إنهم قاموا بتنفيذ نصوص PowerShell النصية عن بعد بالإضافة إلى أداة الوكيل المخصصة للاتصال بخوادم C1 الخاصة بها.
