Un grupo emergente de amenazas de ciberespionaje ha estado atacando objetivos en Medio Oriente y África con una novedosa puerta trasera denominada "Stegmap", que utiliza el raramente visto esteganografía Técnica para ocultar código malicioso en una imagen alojada.
Los ataques recientes muestran que el grupo, llamado Witchetty, también conocido como LookingFrog, fortalece su conjunto de herramientas, agrega tácticas de evasión sofisticadas y explota vulnerabilidades conocidas de Microsoft Exchange. ProxyShell y Inicio de sesión proxy. Los investigadores de Symantec Threat Hunter observaron que el grupo instalaba webshells en servidores públicos, robaba credenciales y luego se propagaba lateralmente a través de las redes para propagar malware, revelaron. en un blog publicado el 29 de septiembre.
En ataques entre febrero y septiembre, Witchetty apuntó a los gobiernos de dos países de Medio Oriente y a la bolsa de valores de una nación africana en ataques que utilizaron el vector antes mencionado, dijeron.
ProxyShell se compone de tres fallas conocidas y parcheadas: CVE-2021-34473, CVE-2021-34523y CVE-2021-31207 - mientras Inicio de sesión proxy se compone de dos, CVE-2021-26855 y CVE-2021-27065. Ambos han sido ampliamente explotados por actores de amenazas desde que fueron revelados por primera vez en agosto de 2021 y diciembre de 2020, respectivamente, ataques que persisten ya que muchos servidores Exchange siguen sin parchear.
La actividad reciente de Witchetty también muestra que el grupo ha agregado una nueva puerta trasera a su arsenal, llamada Stegmap, que emplea esteganografía, una técnica sigilosa que esconde la carga útil en una imagen para evitar ser detectada.
Cómo funciona la puerta trasera Stegmap
En sus ataques recientes, Witchetty continuó usando sus herramientas existentes, pero también agregó Stegmap para desarrollar su arsenal, dijeron los investigadores. La puerta trasera utiliza esteganografía para extraer su carga útil de una imagen de mapa de bits, aprovechando la técnica "para disfrazar código malicioso en archivos de imagen aparentemente inofensivos", dijeron.
La herramienta utiliza un cargador de DLL para descargar un archivo de mapa de bits que parece ser un logotipo antiguo de Microsoft Windows desde un repositorio de GitHub. "Sin embargo, la carga útil está oculta dentro del archivo y se descifra con una clave XOR", dijeron los investigadores en su publicación.
Al disfrazar la carga útil de esta manera, los atacantes pueden alojarla en un servicio gratuito y confiable que es mucho menos probable que genere una señal de alerta que un servidor de comando y control (C2) controlado por un atacante, señalaron.
La puerta trasera, una vez descargada, realiza las tareas típicas de la puerta trasera, como eliminar directorios; copiar, mover y eliminar archivos; iniciar nuevos procesos o eliminar los existentes; leer, crear o eliminar claves de registro, o establecer valores de clave; y robar archivos locales.
Además de Stegmap, Witchetty también agregó otras tres herramientas personalizadas a su carcaj: una utilidad proxy para conectarse a comando y control (C2), un escáner de puertos y una utilidad de persistencia, dijeron los investigadores.
Grupo de amenazas en evolución
brujería primero llamó la atención de investigadores de ESET en abril. Identificaron al grupo como uno de los tres subgrupos de TA410, una amplia operación de ciberespionaje con algunos vínculos con el grupo Cicada (también conocido como APT10) que normalmente apunta a empresas de servicios públicos con sede en EE. UU., así como a organizaciones diplomáticas en Medio Oriente y África, según los investigadores. dicho. Los otros subgrupos de TA410, según lo rastreado por ESET, son FlowingFrog y JollyFrog.
En su actividad inicial, Witchetty utilizó dos piezas de malware (una puerta trasera de primera etapa conocida como X4 y una carga útil de segunda etapa conocida como LookBack) para atacar a gobiernos, misiones diplomáticas, organizaciones benéficas y organizaciones industriales/de manufactura.
En general, los recientes ataques muestran que el grupo emerge como una amenaza formidable y astuta que combina el conocimiento de los puntos débiles de la empresa con su propio desarrollo de herramientas personalizadas para eliminar "objetivos de interés", señalaron los investigadores de Symantec.
"La explotación de vulnerabilidades en servidores públicos le proporciona una ruta hacia las organizaciones, mientras que las herramientas personalizadas combinadas con el uso experto de tácticas de subsistencia le permiten mantener una presencia persistente a largo plazo en la organización objetivo", afirman. escribió en la publicación.
Detalles específicos del ataque contra una agencia gubernamental
Los detalles específicos de un ataque a una agencia gubernamental en el Medio Oriente revelan que Witchetty mantuvo su persistencia durante el transcurso de siete meses y entró y salió del entorno de la víctima para realizar actividades maliciosas a voluntad.
El ataque comenzó el 27 de febrero, cuando el grupo aprovechó la vulnerabilidad ProxyShell para volcar la memoria del proceso del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS), que en Windows es responsable de hacer cumplir la política de seguridad en el sistema, y luego continuó desde allí. .
En el transcurso de los siguientes seis meses, el grupo continuó deshaciéndose de procesos; movido lateralmente a través de la red; explotó tanto ProxyShell como ProxyLogon para instalar webshells; instaló la puerta trasera LookBack; ejecutó un script de PowerShell que podría generar las últimas cuentas de inicio de sesión en un servidor en particular; e intentó ejecutar código malicioso desde servidores C2.
La última actividad del ataque que observaron los investigadores ocurrió el 1 de septiembre, cuando Witchetty descargó archivos remotos; descomprimió un archivo zip con una herramienta de implementación; y ejecutó scripts remotos de PowerShell, así como su herramienta proxy personalizada para contactar sus servidores C2, dijeron.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
