An emerging cyber-espionage threat group has been hitting targets in the Middle East and Africa with a novel backdoor dubbed “Stegmap,” which uses the rarely seen استیگانگرافی روشی برای پنهان کردن کدهای مخرب در یک تصویر میزبان.
حملات اخیر نشان می دهد که این گروه - به نام Witchetty، با نام مستعار LookingFrog - مجموعه ابزار خود را تقویت می کند، تاکتیک های پیچیده فرار را اضافه می کند و از آسیب پذیری های شناخته شده Microsoft Exchange سوء استفاده می کند. پروکسی شل و پروکسی لوگون. محققان Symantec Threat Hunter مشاهده کردند که این گروه در حال نصب پوسته های وب بر روی سرورهای عمومی، سرقت اطلاعات کاربری، و سپس انتشار جانبی در سراسر شبکه ها برای انتشار بدافزارها بودند. در یک پست وبلاگ 29 سپتامبر منتشر شد.
آنها گفتند که ویچتی در حملات بین فوریه و سپتامبر، دولت های دو کشور خاورمیانه و بورس اوراق بهادار یک کشور آفریقایی را در حملاتی که از بردار فوق الذکر استفاده می کردند، هدف قرار داد.
ProxyShell از سه نقص شناخته شده و وصله شده تشکیل شده است. CVE-2021-34473, CVE-2021-34523و CVE-2021-31207 - در حالی که پروکسی لوگون از دو تشکیل شده است، CVE-2021-26855 و CVE-2021-27065. از زمانی که برای اولین بار به ترتیب در آگوست 2021 و دسامبر 2020 فاش شدند، هر دو به طور گسترده توسط عوامل تهدید مورد سوء استفاده قرار گرفتند - حملاتی که همچنان ادامه مییابند زیرا بسیاری از سرورهای Exchange اصلاح نشده باقی میمانند.
Witchetty’s recent activity also shows that the group has added a new backdoor to its arsenal, called Stegmap, which employs steganography — a stealthy technique that stashes the payload in an image to avoid detection.
نحوه عملکرد Stegmap Backdoor
In its recent attacks, Witchetty continued to use its existing tools, but also added Stegmap to flesh out its arsenal, the researchers said. The backdoor uses steganography to extract its payload from a bitmap image, leveraging the technique “to disguise malicious code in seemingly innocuous-looking image files,” they said.
The tool uses a DLL loader to download a bitmap file that appears to be an old Microsoft Windows logo from a GitHub repository. “However, the payload is hidden within the file and is decrypted with an XOR key,” the researchers said in their post.
آنها خاطرنشان کردند که با پنهان کردن محموله به این روش، مهاجمان می توانند آن را بر روی یک سرویس رایگان و قابل اعتماد میزبانی کنند که نسبت به یک سرور فرمان و کنترل (C2) که توسط مهاجم کنترل می شود، کمتر احتمال دارد پرچم قرمز را برافراشته کند.
درب پشتی، پس از دانلود، به انجام کارهای معمولی در پشتی، مانند حذف دایرکتوری ها می پردازد. کپی کردن، انتقال و حذف فایل ها؛ شروع فرآیندهای جدید یا کشتن فرآیندهای موجود؛ خواندن، ایجاد، یا حذف کلیدهای رجیستری، یا تنظیم مقادیر کلید. و سرقت فایل های محلی
علاوه بر Stegmap, به گفته محققان، Witchetty همچنین سه ابزار سفارشی دیگر - یک ابزار پراکسی برای اتصال به فرمان و کنترل (C2)، یک اسکنر پورت، و یک ابزار پایداری - را به quiver خود اضافه کرد.
گروه تهدید در حال تحول
اول جادوگر توجه محققان ESET را به خود جلب کرد در آوریل. آنها این گروه را به عنوان یکی از سه زیرگروه TA410 شناسایی کردند، یک عملیات جاسوسی سایبری گسترده با برخی از پیوندها با گروه Cicada (معروف به APT10) که معمولاً تاسیسات مستقر در ایالات متحده و همچنین سازمان های دیپلماتیک در خاورمیانه و آفریقا را هدف قرار می دهد. گفت. زیرگروه های دیگر TA410 که توسط ESET ردیابی می شود، FlowingFrog و JollyFrog هستند.
ویچتی در فعالیت اولیه از دو بدافزار استفاده کرد - یک درب پشتی مرحله اول به نام X4 و یک بار مرحله دوم به نام LookBack - برای هدف قرار دادن دولتها، مأموریتهای دیپلماتیک، خیریهها و سازمانهای صنعتی/تولیدی.
Overall, the recent attacks show the group emerging as a formidable and savvy threat that combines a knowledge of enterprise weak spots with its own custom tool development to take out “targets of interest,” the Symantec researchers noted.
“Exploitation of vulnerabilities on public-facing servers provides it with a route into organizations, while custom tools paired with adept use of living-off-the-land tactics allow it to maintain a long-term, persistent presence in targeted organization,” they wrote in the post.
جزئیات حمله خاص علیه آژانس دولتی
Specific details of an attack on a government agency in the Middle East reveal Witchetty maintaining persistence over the course of seven months and dipping in and out of the victim’s environment to perform malicious activity at will.
حمله در 27 فوریه آغاز شد، زمانی که گروه از آسیبپذیری ProxyShell برای حذف حافظه فرآیند Local Security Authority Subsystem Service (LSASS) - که در ویندوز مسئول اجرای سیاست امنیتی در سیستم است - سوء استفاده کرد و سپس از آنجا ادامه داد. .
در طول شش ماه آینده، گروه به تخلیه فرآیندها ادامه داد. به صورت جانبی در سراسر شبکه حرکت کرد. از ProxyShell و ProxyLogon برای نصب webshell ها سوء استفاده کرد. درپشتی LookBack را نصب کرد. یک اسکریپت PowerShell را اجرا کرد که می توانست آخرین حساب های ورود به سیستم را در یک سرور خاص خروجی دهد. و سعی کرد کدهای مخرب را از سرورهای C2 اجرا کند.
آخرین فعالیت این حمله که محققان مشاهده کردند در 1 سپتامبر رخ داد، زمانی که Witchetty فایل های راه دور را دانلود کرد. یک فایل فشرده را با ابزار استقرار از حالت فشرده خارج کرد. و اسکریپت های PowerShell از راه دور و همچنین ابزار پراکسی سفارشی آن را برای تماس با سرورهای C2 خود اجرا کرد.
