En ny cyberspionagetrusselgruppe har ramt mål i Mellemøsten og Afrika med en ny bagdør kaldet "Stegmap", som bruger det sjældent sete steganografi teknik til at skjule ondsindet kode i et hostet billede.
Nylige angreb viser, at gruppen - kaldet Witchetty, også kaldet LookingFrog - forstærker sit værktøjssæt, tilføjer sofistikerede undvigelsestaktikker og udnytter kendte Microsoft Exchange-sårbarheder ProxyShell , ProxyLogon. Forskere fra Symantec Threat Hunter observerede, at gruppen installerede webshells på offentligt vendte servere, stjal legitimationsoplysninger og derefter spredte sig sideværts på tværs af netværk for at udbrede malware, afslørede de. i et blogindlæg udgivet 29. sept.
I angreb mellem februar og september målrettede Witchetty regeringerne i to mellemøstlige lande og børsen i en afrikansk nation i angreb, der brugte den førnævnte vektor, sagde de.
ProxyShell består af tre kendte og lappede fejl - CVE-2021-34473, CVE-2021-34523og CVE-2021-31207 - mens ProxyLogon består af to, CVE-2021-26855 , CVE-2021-27065. Begge er blevet udnyttet bredt af trusselsaktører, siden de først blev afsløret i henholdsvis august 2021 og december 2020 - angreb, der fortsætter, da mange Exchange-servere forbliver upatchede.
Witchettys seneste aktivitet viser også, at gruppen har tilføjet en ny bagdør til sit arsenal, kaldet Stegmap, som anvender steganografi - en snigende teknik, der gemmer nyttelasten i et billede for at undgå opdagelse.
Sådan fungerer Stegmap-bagdøren
I sine seneste angreb fortsatte Witchetty med at bruge sine eksisterende værktøjer, men tilføjede også Stegmap for at udfylde sit arsenal, sagde forskerne. Bagdøren bruger steganografi til at udtrække sin nyttelast fra et bitmapbillede, og udnytter teknikken "til at skjule ondsindet kode i tilsyneladende uskadeligt udseende billedfiler," sagde de.
Værktøjet bruger en DLL-indlæser til at downloade en bitmap-fil, der ser ud til at være et gammelt Microsoft Windows-logo fra et GitHub-lager. "Men nyttelasten er skjult i filen og dekrypteres med en XOR-nøgle," sagde forskerne i deres indlæg.
Ved at skjule nyttelasten på denne måde kan angribere hoste den på en gratis, betroet tjeneste, der er langt mindre tilbøjelig til at hæve et rødt flag end en angriberstyret kommando-og-kontrol-server (C2), bemærkede de.
Bagdøren, når den er downloadet, fortsætter med at gøre typiske bagdørsting, såsom at fjerne mapper; kopiering, flytning og sletning af filer; starte nye processer eller dræbe eksisterende; læsning, oprettelse eller sletning af registreringsdatabasenøgler eller indstilling af nøgleværdier; og stjæle lokale filer.
Ud over Stegmap, Witchetty tilføjede også tre andre brugerdefinerede værktøjer - et proxyværktøj til at oprette forbindelse til kommando-og-kontrol (C2), en portscanner og et persistensværktøj - til sit kogger, sagde forskerne.
Udviklende trusselsgruppe
Witchetty først fanget opmærksomhed hos forskere ved ESET i april. De identificerede gruppen som en af tre undergrupper af TA410, en bred cyberspionageoperation med nogle forbindelser til Cicada-gruppen (aka APT10), der typisk er rettet mod USA-baserede forsyningsselskaber såvel som diplomatiske organisationer i Mellemøsten og Afrika, forskerne. sagde. De andre undergrupper af TA410, som sporet af ESET, er FlowingFrog og JollyFrog.
I den indledende aktivitet brugte Witchetty to stykker malware - en bagdør i første trin kendt som X4 og en anden trins nyttelast kendt som LookBack - til at målrette mod regeringer, diplomatiske missioner, velgørende organisationer og industri-/produktionsorganisationer.
Samlet set viser de seneste angreb, at gruppen dukker op som en formidabel og kyndig trussel, der kombinerer viden om virksomhedens svage punkter med sin egen tilpassede værktøjsudvikling for at fjerne "mål af interesse," bemærkede Symantec-forskerne.
"Udnyttelse af sårbarheder på offentligt vendte servere giver den en rute ind i organisationer, mens brugerdefinerede værktøjer parret med dygtig brug af "live-off-the-land"-taktik gør det muligt for den at opretholde en langsigtet, vedvarende tilstedeværelse i målrettet organisation," de skrev i opslaget.
Specifikke angrebsdetaljer mod offentlige myndigheder
Specifikke detaljer om et angreb på et regeringsorgan i Mellemøsten afslører, at Witchetty opretholder vedholdenhed i løbet af syv måneder og dykker ind og ud af ofrets miljø for at udføre ondsindet aktivitet efter behag.
Angrebet startede den 27. februar, da gruppen udnyttede ProxyShell-sårbarheden til at dumpe hukommelsen fra Local Security Authority Subsystem Service (LSASS)-processen - som i Windows er ansvarlig for at håndhæve sikkerhedspolitikken på systemet - og fortsatte derefter derfra .
I løbet af de næste seks måneder fortsatte gruppen med at dumpe processer; flyttet på tværs af netværket; udnyttede både ProxyShell og ProxyLogon til at installere webshells; installerede LookBack-bagdøren; udførte et PowerShell-script, der kunne udlæse de sidste login-konti på en bestemt server; og forsøgte at udføre ondsindet kode fra C2-servere.
Den sidste aktivitet af angrebet, som forskere observerede, fandt sted den 1. september, da Witchetty downloadede fjernfiler; dekomprimerede en zip-fil med et implementeringsværktøj; og udførte eksterne PowerShell-scripts såvel som dets brugerdefinerede proxyværktøj for at kontakte dets C2-servere, sagde de.
