Nouseva kybervakoilun uhkaryhmä on iskenyt kohteisiin Lähi-idässä ja Afrikassa uudella "Stegmap"-nimisellä takaovella, joka käyttää harvoin nähtyä steganography tekniikkaa haitallisen koodin piilottamiseksi isännöityyn kuvaan.
Viimeaikaiset hyökkäykset osoittavat, että ryhmä – Witchetty eli LookingFrog – vahvistaa työkalusarjaansa, lisää kehittyneitä kiertotaktiikoita ja hyödyntää tunnettuja Microsoft Exchangen haavoittuvuuksia. ProxyShell ja Välityspalvelin. Symantec Threat Hunterin tutkijat havaitsivat, että ryhmä asensi verkkokuoria julkisille palvelimille, varasti tunnistetietoja ja levisi sitten sivusuunnassa verkoissa levittääkseen haittaohjelmia. kirjoitusta julkaistu 29. syyskuuta.
Helmi-syyskuun välisissä hyökkäyksissä Witchetty kohdistui kahden Lähi-idän maan hallituksia ja afrikkalaisen valtion pörssiä vastaan hyökkäyksissä, joissa käytettiin edellä mainittua vektoria, he sanoivat.
ProxyShell koostuu kolmesta tunnetusta ja korjatusta puutteesta - CVE-2021-34473, CVE-2021-34523ja CVE-2021-31207 - sillä aikaa Välityspalvelin koostuu kahdesta, CVE-2021-26855 ja CVE-2021-27065. Uhkatoimijat ovat hyödyntäneet molempia laajalti sen jälkeen, kun ne paljastettiin ensimmäisen kerran elokuussa 2021 ja joulukuussa 2020 – hyökkäykset jatkuvat, koska monet Exchange-palvelimet ovat korjaamattomia.
Witchettyn viimeaikainen toiminta osoittaa myös, että ryhmä on lisännyt arsenaaliinsa uuden takaoven, nimeltään Stegmap, joka käyttää steganografiaa – salattua tekniikkaa, joka kätkee hyötykuorman kuvaan havaitsemisen välttämiseksi.
Kuinka Stegmap-takaovi toimii
Viimeaikaisissa hyökkäyksissä Witchetty jatkoi olemassa olevien työkalujensa käyttöä, mutta lisäsi myös Stegmapin täydentääkseen arsenaaliaan, tutkijat sanoivat. Takaovi käyttää steganografiaa hyötykuorman poimimiseen bittikarttakuvasta hyödyntäen tekniikkaa "naamioidakseen haitallisen koodin vaarattoman näköisiin kuvatiedostoihin", he sanoivat.
Työkalu käyttää DLL-lataajaa ladatakseen bittikarttatiedoston, joka näyttää olevan vanha Microsoft Windows -logo GitHub-arkistosta. "Hyötykuorma on kuitenkin piilotettu tiedostoon ja sen salaus puretaan XOR-avaimella", tutkijat sanoivat viestissään.
Naamioimalla hyötykuorman tällä tavalla, hyökkääjät voivat isännöidä sitä ilmaisessa, luotettavassa palvelussa, joka ei todennäköisesti nosta punaista lippua kuin hyökkääjän ohjaama komento- ja ohjauspalvelin (C2), he huomauttivat.
Kun takaovi on ladattu, se jatkaa tyypillisten takaovien toimien suorittamista, kuten hakemistojen poistamista; tiedostojen kopioiminen, siirtäminen ja poistaminen; uusien prosessien käynnistäminen tai olemassa olevien lopettaminen; rekisteriavainten lukeminen, luominen tai poistaminen tai avainarvojen asettaminen; ja varastaa paikallisia tiedostoja.
Stegmapin lisäksi, Witchetty lisäsi myös kolme muuta mukautettua työkalua – välityspalvelinapuohjelman komentoihin ja hallintaan (C2) liittämistä varten, porttiskannerin ja pysyvyysapuohjelman – tutkijoiden mukaan.
Kehittyvä uhkaryhmä
Witchetty ensin kiinnitti ESETin tutkijoiden huomion huhtikuussa. Tutkijat tunnistivat ryhmän yhdeksi kolmesta TA410:n alaryhmästä, laajasta kybervakoiluoperaatiosta, jolla on joitakin yhteyksiä Cicada-ryhmään (alias APT10), joka tyypillisesti kohdistuu Yhdysvalloissa sijaitseviin laitosten sekä Lähi-idän ja Afrikan diplomaattisten organisaatioiden joukkoon. sanoi. Muut TA410:n alaryhmät, joita ESET seuraa, ovat FlowingFrog ja JollyFrog.
Alkuvaiheessa Witchetty käytti kahta haittaohjelmaa – ensimmäisen vaiheen takaovea, joka tunnetaan nimellä X4, ja toisen vaiheen hyötykuormaa, joka tunnetaan nimellä LookBack – kohdistaakseen hallituksia, diplomaattisia edustustoja, hyväntekeväisyysjärjestöjä ja teollisuus-/valmistusorganisaatioita.
Kaiken kaikkiaan viimeaikaiset hyökkäykset osoittavat, että ryhmä on noussut valtavaksi ja älykkääksi uhkaksi, joka yhdistää yrityksen heikkojen kohtien tuntemuksen omaan räätälöityjen työkalujensa kehittämiseen "kiinnostavien kohteiden" poistamiseksi, Symantecin tutkijat totesivat.
"Julkisten palvelimien haavoittuvuuksien hyödyntäminen tarjoaa sille reitin organisaatioihin, kun taas mukautetut työkalut yhdistettynä asiantuntevaan ulkomailla asumisen taktiikoihin mahdollistavat pitkän aikavälin jatkuvan läsnäolon kohdeorganisaatiossa", he kertovat. kirjoitti viestissä.
Tarkat tiedot valtionvirastoa vastaan tehdystä hyökkäyksestä
Tarkat yksityiskohdat Lähi-idän valtion virastoon kohdistuneesta hyökkäyksestä paljastavat, että Witchetty pysyi sinnikkäänä seitsemän kuukauden ajan ja sukelsi uhrin ympäristöön ja poistui siitä tehdäkseen haitallisia toimia.
Hyökkäys alkoi 27. helmikuuta, kun ryhmä käytti ProxyShell-haavoittuvuutta tyhjentääkseen LSASS-prosessin (Local Security Authority Subsystem Service) muistin – joka Windowsissa on vastuussa järjestelmän suojauskäytännön täytäntöönpanosta – ja sitten jatkoi sieltä. .
Seuraavien kuuden kuukauden aikana ryhmä jatkoi prosessien purkamista; siirretty sivusuunnassa verkon yli; käytti hyväkseen sekä ProxyShellia että ProxyLogonia verkkokuvien asentamiseen; asennettu LookBack-takaovi; suoritti PowerShell-komentosarjan, joka saattoi tulostaa tietyn palvelimen viimeiset kirjautumistilit; ja yritti suorittaa haitallista koodia C2-palvelimista.
Viimeinen tutkijoiden havaitsema hyökkäys tapahtui 1. syyskuuta, kun Witchetty latasi etätiedostoja; purettu zip-tiedosto käyttöönottotyökalulla; ja suoritti PowerShell-etäkomentosarjat sekä mukautetun välityspalvelintyökalunsa ottaakseen yhteyttä C2-palvelimiin, he sanoivat.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
