Eine aufstrebende Cyberspionage-Bedrohungsgruppe hat Ziele im Nahen Osten und in Afrika mit einer neuartigen Hintertür namens „Stegmap“ angegriffen, die selten gesehene Elemente nutzt Steganographie Technik zum Verstecken von Schadcode in einem gehosteten Image.
Jüngste Angriffe zeigen, dass die Gruppe namens Witchetty, auch bekannt als LookingFrog, ihre Tools verstärkt, ausgefeilte Umgehungstaktiken einführt und bekannte Microsoft Exchange-Schwachstellen ausnutzt ProxyShell und ProxyAnmeldung. Forscher von Symantec Threat Hunter beobachteten, wie die Gruppe Webshells auf öffentlich zugänglichen Servern installierte, Anmeldeinformationen stahl und sich dann lateral über Netzwerke verbreitete, um Malware zu verbreiten, wie sie enthüllten in einem Blog-Post veröffentlicht am 29. September.
Bei Angriffen zwischen Februar und September zielte Witchetty auf die Regierungen zweier Länder im Nahen Osten und die Börse eines afrikanischen Landes ab, wobei Angriffe den oben genannten Vektor nutzten, hieß es.
ProxyShell besteht aus drei bekannten und behobenen Fehlern: CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207 - während ProxyAnmeldung besteht aus zwei, CVE-2021-26855 und CVE-2021-27065. Beide wurden seit ihrer ersten Offenlegung im August 2021 bzw. Dezember 2020 von Bedrohungsakteuren in großem Umfang ausgenutzt – Angriffe, die andauern, da viele Exchange-Server weiterhin ungepatcht sind.
Die jüngsten Aktivitäten von Witchetty zeigen auch, dass die Gruppe ihrem Arsenal eine neue Hintertür namens Stegmap hinzugefügt hat, die Steganographie nutzt – eine heimliche Technik, die die Nutzlast in einem Bild versteckt, um einer Entdeckung zu entgehen.
So funktioniert die Stegmap-Backdoor
Bei seinen jüngsten Angriffen nutzte Witchetty weiterhin seine vorhandenen Tools, fügte aber auch Stegmap hinzu, um sein Arsenal zu erweitern, so die Forscher. Die Hintertür nutzt Steganographie, um ihre Nutzlast aus einem Bitmap-Bild zu extrahieren, und nutzt die Technik, „um bösartigen Code in scheinbar harmlos aussehenden Bilddateien zu verbergen“, sagten sie.
Das Tool nutzt einen DLL-Loader, um eine Bitmap-Datei, die wie ein altes Microsoft Windows-Logo aussieht, aus einem GitHub-Repository herunterzuladen. „Die Nutzlast ist jedoch in der Datei versteckt und wird mit einem XOR-Schlüssel entschlüsselt“, sagten die Forscher in ihrem Beitrag.
Indem Angreifer die Nutzlast auf diese Weise verschleiern, können sie sie auf einem kostenlosen, vertrauenswürdigen Dienst hosten, bei dem die Wahrscheinlichkeit, dass ein Alarm ausgelöst wird, weitaus geringer ist als bei einem vom Angreifer kontrollierten Command-and-Control-Server (C2), stellten sie fest.
Sobald die Backdoor heruntergeladen ist, führt sie typische Backdoor-Aufgaben aus, wie z. B. das Entfernen von Verzeichnissen; Kopieren, Verschieben und Löschen von Dateien; neue Prozesse starten oder bestehende beenden; Registrierungsschlüssel lesen, erstellen oder löschen oder Schlüsselwerte festlegen; und Diebstahl lokaler Dateien.
Zusätzlich zu Stegmap, Witchetty fügte seinem Köcher außerdem drei weitere benutzerdefinierte Tools hinzu – ein Proxy-Dienstprogramm für die Verbindung zu Command-and-Control (C2), einen Port-Scanner und ein Persistenz-Dienstprogramm –, sagten die Forscher.
Sich entwickelnde Bedrohungsgruppe
Zuerst Witchetty erregte die Aufmerksamkeit der Forscher bei ESET Im April. Sie identifizierten die Gruppe als eine von drei Untergruppen von TA410, einer weitreichenden Cyberspionageoperation mit einigen Verbindungen zur Cicada-Gruppe (auch bekannt als APT10), die typischerweise in den USA ansässige Versorgungsunternehmen sowie diplomatische Organisationen im Nahen Osten und in Afrika ins Visier nimmt, so die Forscher genannt. Die anderen von ESET verfolgten Untergruppen von TA410 sind FlowingFrog und JollyFrog.
In den ersten Aktivitäten nutzte Witchetty zwei Malware-Komponenten – eine Backdoor der ersten Stufe namens X4 und eine Payload der zweiten Stufe namens LookBack –, um Regierungen, diplomatische Vertretungen, Wohltätigkeitsorganisationen und Industrie-/Fertigungsorganisationen anzugreifen.
Insgesamt zeigen die jüngsten Angriffe, dass sich die Gruppe als eine gewaltige und clevere Bedrohung erweist, die Kenntnisse über die Schwachstellen von Unternehmen mit der Entwicklung eigener maßgeschneiderter Tools kombiniert, um „interessante Ziele“ auszuschalten, so die Symantec-Forscher.
„Die Ausnutzung von Schwachstellen auf öffentlich zugänglichen Servern verschafft ihm einen Weg in Organisationen, während benutzerdefinierte Tools gepaart mit dem geschickten Einsatz von „Living-off-the-Land“-Taktiken es ihm ermöglichen, eine langfristige, beständige Präsenz in Zielorganisationen aufrechtzuerhalten“, schreiben sie schrieb im Beitrag.
Spezifische Angriffsdetails gegen Regierungsbehörden
Spezifische Details eines Angriffs auf eine Regierungsbehörde im Nahen Osten zeigen, dass Witchetty sieben Monate lang hartnäckig blieb und immer wieder in die Umgebung des Opfers eintauchte, um nach Belieben böswillige Aktivitäten auszuführen.
Der Angriff begann am 27. Februar, als die Gruppe die ProxyShell-Schwachstelle ausnutzte, um den Speicher des Local Security Authority Subsystem Service (LSASS)-Prozesses zu löschen – der in Windows für die Durchsetzung der Sicherheitsrichtlinie auf dem System verantwortlich ist – und wurde dann von dort aus fortgesetzt .
Im Laufe der nächsten sechs Monate fuhr die Gruppe fort, Prozesse zu verwerfen; seitlich über das Netzwerk bewegt; nutzte sowohl ProxyShell als auch ProxyLogon aus, um Webshells zu installieren; die LookBack-Hintertür installiert; hat ein PowerShell-Skript ausgeführt, das die letzten Anmeldekonten auf einem bestimmten Server ausgeben konnte; und versucht, Schadcode von C2-Servern auszuführen.
Die letzte Aktivität des Angriffs, die Forscher beobachteten, ereignete sich am 1. September, als Witchetty Remote-Dateien herunterlud; eine ZIP-Datei mit einem Bereitstellungstool dekomprimiert; und führte Remote-PowerShell-Skripte sowie sein benutzerdefiniertes Proxy-Tool aus, um Kontakt zu seinen C2-Servern aufzunehmen, sagten sie.
