Η ομάδα κατασκοπείας χειρίζεται στεγανογραφική κερκόπορτα κατά κυβερνήσεων, Χρηματιστήριο

Μια αναδυόμενη ομάδα απειλής κυβερνοκατασκοπείας έχει χτυπήσει στόχους στη Μέση Ανατολή και την Αφρική με μια νέα κερκόπορτα που ονομάζεται "Stegmap", η οποία χρησιμοποιεί το σπάνια steganography τεχνική για την απόκρυψη κακόβουλου κώδικα σε μια φιλοξενούμενη εικόνα.

Πρόσφατες επιθέσεις δείχνουν ότι η ομάδα — που ονομάζεται Witchetty, γνωστός και ως LookingFrog — ενισχύει το σύνολο εργαλείων της, προσθέτει εξελιγμένες τακτικές αποφυγής και εκμεταλλεύεται γνωστά τρωτά σημεία του Microsoft Exchange ProxyShell και ProxyLogon. Ερευνητές από τη Symantec Threat Hunter παρατήρησαν την ομάδα να εγκαθιστά webshells σε διακομιστές που αντιμετωπίζουν δημόσια, να κλέβει διαπιστευτήρια και στη συνέχεια να εξαπλώνεται πλευρικά στα δίκτυα για να διαδώσει κακόβουλο λογισμικό, αποκάλυψαν. σε ένα blog post δημοσιεύθηκε 29 Σεπτεμβρίου.

Σε επιθέσεις μεταξύ Φεβρουαρίου και Σεπτεμβρίου, ο Witchetty στόχευσε τις κυβερνήσεις δύο χωρών της Μέσης Ανατολής και το χρηματιστήριο ενός αφρικανικού έθνους σε επιθέσεις που χρησιμοποίησαν τον προαναφερθέντα φορέα, είπαν.

Το ProxyShell αποτελείται από τρία γνωστά και διορθωμένα ελαττώματα — CVE-2021-34473, CVE-2021-34523, να CVE-2021-31207 - ενώ ProxyLogon αποτελείται από δύο, CVE-2021-26855 και CVE-2021-27065. Και οι δύο έχουν εκμεταλλευτεί ευρέως από φορείς απειλών από τότε που αποκαλύφθηκαν για πρώτη φορά τον Αύγουστο του 2021 και τον Δεκέμβριο του 2020, αντίστοιχα — επιθέσεις που επιμένουν καθώς πολλοί Exchange Servers παραμένουν χωρίς επιδιόρθωση.

Η πρόσφατη δραστηριότητα της Witchetty δείχνει επίσης ότι η ομάδα έχει προσθέσει μια νέα κερκόπορτα στο οπλοστάσιό της, που ονομάζεται Stegmap, η οποία χρησιμοποιεί steganography - μια μυστική τεχνική που κρύβει το ωφέλιμο φορτίο σε μια εικόνα για να αποφύγει τον εντοπισμό.

Πώς λειτουργεί το Backdoor Stegmap

Στις πρόσφατες επιθέσεις της, η Witchetty συνέχισε να χρησιμοποιεί τα υπάρχοντα εργαλεία της, αλλά πρόσθεσε επίσης το Stegmap για να εμπλουτίσει το οπλοστάσιό της, είπαν οι ερευνητές. Το backdoor χρησιμοποιεί steganography για να εξάγει το ωφέλιμο φορτίο του από μια εικόνα bitmap, αξιοποιώντας την τεχνική "για να συγκαλύψει κακόβουλο κώδικα σε φαινομενικά αβλαβή αρχεία εικόνας", είπαν.

Το εργαλείο χρησιμοποιεί ένα πρόγραμμα φόρτωσης DLL για τη λήψη ενός αρχείου bitmap που φαίνεται να είναι ένα παλιό λογότυπο των Microsoft Windows από ένα αποθετήριο GitHub. «Ωστόσο, το ωφέλιμο φορτίο είναι κρυμμένο μέσα στο αρχείο και αποκρυπτογραφείται με ένα κλειδί XOR», ανέφεραν οι ερευνητές στην ανάρτησή τους.

Αποκρύπτοντας το ωφέλιμο φορτίο με αυτόν τον τρόπο, οι εισβολείς μπορούν να το φιλοξενήσουν σε μια δωρεάν, αξιόπιστη υπηρεσία που είναι πολύ λιγότερο πιθανό να σηκώσει κόκκινη σημαία από έναν διακομιστή εντολών και ελέγχου (C2) που ελέγχεται από τον εισβολέα, σημείωσαν.

Η κερκόπορτα, αφού γίνει λήψη, συνεχίζει να κάνει τυπικά πράγματα κερκόπορτας, όπως η αφαίρεση καταλόγων. αντιγραφή, μετακίνηση και διαγραφή αρχείων. έναρξη νέων διαδικασιών ή εξόντωση υπαρχουσών. ανάγνωση, δημιουργία ή διαγραφή κλειδιών μητρώου ή ορισμός τιμών κλειδιών. και κλοπή τοπικών αρχείων.

Εκτός από το Stegmap, Ο Witchetty πρόσθεσε επίσης τρία άλλα προσαρμοσμένα εργαλεία - ένα βοηθητικό πρόγραμμα διακομιστή μεσολάβησης για σύνδεση με το command-and-control (C2), έναν σαρωτή θυρών και ένα βοηθητικό πρόγραμμα persistence - στη φαρέτρα του, είπαν οι ερευνητές.

Εξελισσόμενη Ομάδα Απειλών

Μάγος πρώτα τράβηξε την προσοχή των ερευνητών της ESET τον Απρίλιο. Οι ερευνητές αναγνώρισαν την ομάδα ως μία από τις τρεις υποομάδες του TA410, μιας ευρείας επιχείρησης κυβερνοκατασκοπείας με μερικούς δεσμούς με την ομάδα Cicada (γνωστός και ως APT10) που στοχεύει συνήθως επιχειρήσεις κοινής ωφελείας που εδρεύουν στις ΗΠΑ καθώς και διπλωματικούς οργανισμούς στη Μέση Ανατολή και την Αφρική. είπε. Οι άλλες υποομάδες του TA410, όπως παρακολουθούνται από την ESET, είναι οι FlowingFrog και JollyFrog.

Στην αρχική δραστηριότητα, η Witchetty χρησιμοποίησε δύο κομμάτια κακόβουλου λογισμικού - ένα backdoor πρώτου σταδίου γνωστό ως X4 και ένα ωφέλιμο φορτίο δεύτερου σταδίου γνωστό ως LookBack - για να στοχεύσει κυβερνήσεις, διπλωματικές αποστολές, φιλανθρωπικά ιδρύματα και βιομηχανικούς/κατασκευαστικούς οργανισμούς.

Συνολικά, οι πρόσφατες επιθέσεις δείχνουν ότι η ομάδα αναδύεται ως μια τρομερή και έξυπνη απειλή που συνδυάζει τη γνώση των αδύναμων σημείων της επιχείρησης με τη δική της προσαρμοσμένη ανάπτυξη εργαλείων για την εξάλειψη «στόχων ενδιαφέροντος», σημείωσαν οι ερευνητές της Symantec.

«Η εκμετάλλευση των τρωτών σημείων σε διακομιστές που αντιμετωπίζουν το κοινό του παρέχει μια διαδρομή προς τους οργανισμούς, ενώ τα προσαρμοσμένα εργαλεία σε συνδυασμό με την έμπειρη χρήση των τακτικών που ζουν εκτός της γης του επιτρέπουν να διατηρεί μια μακροπρόθεσμη, επίμονη παρουσία σε στοχευμένους οργανισμούς», έγραψε στην ανάρτηση.

Συγκεκριμένες λεπτομέρειες επίθεσης κατά της κυβερνητικής υπηρεσίας

Συγκεκριμένες λεπτομέρειες μιας επίθεσης σε κυβερνητική υπηρεσία στη Μέση Ανατολή αποκαλύπτουν ότι η Witchetty επιμένει για επτά μήνες και βυθίζεται μέσα και έξω από το περιβάλλον του θύματος για να εκτελεί κακόβουλη δραστηριότητα κατά βούληση.

Η επίθεση ξεκίνησε στις 27 Φεβρουαρίου, όταν η ομάδα εκμεταλλεύτηκε την ευπάθεια ProxyShell για να απορρίψει τη μνήμη της διαδικασίας Local Security Authority Subsystem Service (LSASS) — η οποία στα Windows είναι υπεύθυνη για την επιβολή της πολιτικής ασφαλείας στο σύστημα — και στη συνέχεια συνέχισε από εκεί .

Κατά τη διάρκεια των επόμενων έξι μηνών ο όμιλος συνέχισε τις διαδικασίες ντάμπινγκ. μετακινήθηκε πλευρικά κατά μήκος του δικτύου. εκμεταλλεύτηκε τόσο το ProxyShell όσο και το ProxyLogon για την εγκατάσταση webshells. εγκατέστησε την κερκόπορτα LookBack. εκτέλεσε μια δέσμη ενεργειών PowerShell που θα μπορούσε να εξάγει τους τελευταίους λογαριασμούς σύνδεσης σε έναν συγκεκριμένο διακομιστή. και προσπάθησε να εκτελέσει κακόβουλο κώδικα από διακομιστές C2.

Η τελευταία δραστηριότητα της επίθεσης που παρατήρησαν οι ερευνητές σημειώθηκε την 1η Σεπτεμβρίου, όταν η Witchetty κατέβασε απομακρυσμένα αρχεία. αποσυμπίεση ενός αρχείου zip με ένα εργαλείο ανάπτυξης. και εκτέλεσε απομακρυσμένα σενάρια PowerShell καθώς και το προσαρμοσμένο εργαλείο διακομιστή μεσολάβησης για να επικοινωνήσει με τους διακομιστές C2, είπαν.