Tekkiv küberspionaaži ohurühmitus on tabanud sihtmärke Lähis-Idas ja Aafrikas uudse tagauksega, mille nimeks on "Stegmap", mis kasutab harvanähtavat steganograafia tehnikat hostitud pildil pahatahtliku koodi peitmiseks.
Hiljutised rünnakud näitavad, et rühmitus – Witchetty ehk LookingFrog – tugevdab oma tööriistakomplekti, lisab keerukaid kõrvalehoidmistaktikaid ja kasutab ära teadaolevaid Microsoft Exchange'i turvaauke. ProxyShell ja ProxyLogon. Symantec Threat Hunteri teadlased jälgisid, kuidas rühm paigaldas avalikesse serveritesse veebikarpe, varastas mandaate ja levis seejärel külgmiselt võrkudes pahavara levitamiseks. In blogi postitus avaldatud 29. sept.
Veebruarist septembrini toimunud rünnakutes võttis Witchetty sihikule kahe Lähis-Ida riigi valitsused ja ühe Aafrika riigi börsi rünnakutes, mis kasutasid eelnimetatud vektorit, ütlesid nad.
ProxyShell koosneb kolmest teadaolevast ja parandatud veast - CVE-2021-34473, CVE-2021-34523ja CVE-2021-31207 — samal ajal ProxyLogon koosneb kahest, CVE-2021-26855 ja CVE-2021-27065. Mõlemat on ohus osalejad laialdaselt ära kasutanud alates nende esmaavastamisest vastavalt 2021. aasta augustis ja 2020. aasta detsembris – rünnakud kestavad seni, kuni paljud Exchange'i serverid jäävad parandamata.
Witchetty hiljutine tegevus näitab ka, et rühmitus on lisanud oma arsenali uue tagaukse nimega Stegmap, mis kasutab steganograafiat – varajast tehnikat, mis salvestab kasuliku koormuse pildile, et vältida tuvastamist.
Kuidas Stegmap Backdoor töötab
Teadlaste sõnul jätkas Witchetty oma viimaste rünnakute käigus oma olemasolevate tööriistade kasutamist, kuid lisas ka Stegmapi, et täiendada oma arsenali. Tagauks kasutab steganograafiat, et eraldada bitmap-kujutisest kasulik koormus, kasutades tehnikat, et "varjata pahatahtlikku koodi näiliselt kahjutu välimusega pildifailidesse", ütlesid nad.
Tööriist kasutab DLL-laadurit, et laadida GitHubi hoidlast alla bitmap-fail, mis näib olevat vana Microsoft Windowsi logo. "Kuid kasulik koormus on failis peidetud ja dekrüpteeritakse XOR-võtmega," ütlesid teadlased oma postituses.
Nad märkisid, et sellisel viisil kasulikku koormust varjates saavad ründajad seda majutada tasuta usaldusväärses teenuses, mis tõenäoliselt tõstab punase lipu esile kui ründaja juhitav käsu- ja juhtimisserver (C2).
Pärast allalaadimist jätkab tagauks tüüpiliste tagaukse toimingute tegemist, näiteks kataloogide eemaldamist; failide kopeerimine, teisaldamine ja kustutamine; uute protsesside käivitamine või olemasolevate tapmine; registrivõtmete lugemine, loomine või kustutamine või võtmeväärtuste määramine; ja kohalike failide varastamine.
Lisaks Stegmapile, Witchetty lisas oma värinasse ka kolm muud kohandatud tööriista – puhverserveri utiliidi käsu- ja juhtimisega (C2) ühendamiseks, pordi skanneri ja püsivusutiliiti, ütlesid teadlased.
Arenev ohurühm
Kõigepealt nõid pälvis ESETi teadlaste tähelepanu aprillis. Uurijad tuvastasid, et rühm on üks kolmest TA410 alamrühmast. See laiaulatuslik küberspionaažioperatsioon, millel on mõned seosed Cicada grupiga (aka APT10), mis on tavaliselt suunatud USA-s asuvatele kommunaalettevõtetele ning Lähis-Ida ja Aafrika diplomaatilistele organisatsioonidele. ütles. Teised TA410 alamrühmad, mida ESET jälgib, on FlowingFrog ja JollyFrog.
Esialgses tegevuses kasutas Witchetty valitsuste, diplomaatiliste esinduste, heategevusorganisatsioonide ja tööstus-/tootmisorganisatsioonide sihtimiseks kahte pahavara osa – esimese astme tagaukse nimega X4 ja teise astme kasulikku koormust, mida tuntakse nime all LookBack.
Üldiselt näitavad hiljutised rünnakud, et rühmitus on tõusmas hirmuäratava ja taibuka ohuna, mis ühendab teadmised ettevõtte nõrkadest kohtadest oma kohandatud tööriistade arendamisega, et eemaldada "huviobjektid", märkisid Symanteci teadlased.
"Haavatavuste ärakasutamine avalikes serverites annab sellele marsruudi organisatsioonidesse, samas kui kohandatud tööriistad koos maavälise elamise taktikaga võimaldavad säilitada pikaajalist ja püsivat kohalolekut sihtorganisatsioonis," ütlesid nad. kirjutas postituses.
Konkreetsed üksikasjad valitsusasutuse vastu suunatud rünnaku kohta
Lähis-Ida valitsusasutuse vastu suunatud rünnaku konkreetsed üksikasjad näitavad, et Witchetty säilitas seitsme kuu jooksul järjekindluse ning sukeldus ohvri keskkonda ja sealt välja, et oma äranägemise järgi pahatahtlikku tegevust sooritada.
Rünnak algas 27. veebruaril, kui rühmitus kasutas ära ProxyShelli haavatavust, et tühjendada kohaliku turbeasutuse alamsüsteemi teenuse (LSASS) protsessi – mis vastutab Windowsis süsteemis turbepoliitika jõustamise eest – mälu ja jätkas seejärel sealt. .
Järgmise kuue kuu jooksul jätkas grupp protsesside kustutamist; nihutatud külgsuunas üle võrgu; kasutas veebikestade installimiseks nii ProxyShelli kui ka ProxyLogonit; installinud LookBacki tagaukse; käivitas PowerShelli skripti, mis võis väljastada viimased sisselogimiskontod konkreetses serveris; ja üritas käivitada pahatahtlikku koodi C2 serveritest.
Rünnaku viimane tegevus, mida teadlased täheldasid, leidis aset 1. septembril, kui Witchetty laadis alla kaugfailid; lahti pakkinud zip-faili juurutustööriistaga; ja käivitas PowerShelli kaugskripte ja kohandatud puhverserveri tööriista, et võtta ühendust oma C2-serveritega, ütlesid nad.
