Un nouveau groupe de menace de cyberespionnage a frappé des cibles au Moyen-Orient et en Afrique avec une nouvelle porte dérobée baptisée « Stegmap », qui utilise un outil rarement vu. la stéganographie technique pour masquer le code malveillant dans une image hébergée.
Des attaques récentes montrent que le groupe, appelé Witchetty, alias LookingFrog, a renforcé son ensemble d'outils, ajouté des tactiques d'évasion sophistiquées et exploité les vulnérabilités connues de Microsoft Exchange. ProxyShell ainsi que Connexion proxy. Les chercheurs de Symantec Threat Hunter ont observé le groupe installer des webshells sur des serveurs publics, voler des informations d'identification, puis se propager latéralement sur les réseaux pour propager des logiciels malveillants. dans un billet de blog publié le 29 septembre.
Lors d'attaques entre février et septembre, Witchetty a ciblé les gouvernements de deux pays du Moyen-Orient et la bourse d'un pays africain dans des attaques utilisant le vecteur susmentionné, ont-ils déclaré.
ProxyShell est composé de trois failles connues et corrigées : CVE-2021-34473, CVE-2021-34523et CVE-2021-31207 - alors que Connexion proxy est composé de deux, CVE-2021-26855 ainsi que CVE-2021-27065. Les deux ont été largement exploités par les acteurs malveillants depuis leur première révélation en août 2021 et décembre 2020 respectivement – des attaques qui persistent car de nombreux serveurs Exchange ne sont toujours pas corrigés.
L'activité récente de Witchetty montre également que le groupe a ajouté une nouvelle porte dérobée à son arsenal, appelée Stegmap, qui utilise la stéganographie, une technique furtive qui cache la charge utile dans une image pour éviter d'être détectée.
Comment fonctionne la porte dérobée Stegmap
Lors de ses récentes attaques, Witchetty a continué à utiliser ses outils existants, mais a également ajouté Stegmap pour étoffer son arsenal, ont indiqué les chercheurs. La porte dérobée utilise la stéganographie pour extraire sa charge utile d'une image bitmap, en tirant parti de la technique « pour dissimuler le code malveillant dans des fichiers image apparemment inoffensifs », ont-ils déclaré.
L'outil utilise un chargeur de DLL pour télécharger un fichier bitmap qui semble être un ancien logo Microsoft Windows à partir d'un référentiel GitHub. "Cependant, la charge utile est cachée dans le fichier et est déchiffrée avec une clé XOR", ont indiqué les chercheurs dans leur article.
En déguisant ainsi la charge utile, les attaquants peuvent l'héberger sur un service gratuit et fiable qui est beaucoup moins susceptible de déclencher un signal d'alarme qu'un serveur de commande et de contrôle (C2) contrôlé par l'attaquant, ont-ils noté.
La porte dérobée, une fois téléchargée, effectue des opérations typiques de porte dérobée, telles que la suppression de répertoires ; copier, déplacer et supprimer des fichiers ; démarrer de nouveaux processus ou supprimer ceux existants ; lire, créer ou supprimer des clés de registre, ou définir des valeurs de clé ; et voler des fichiers locaux.
En plus de Stegmap, Witchetty a également ajouté trois autres outils personnalisés : un utilitaire proxy pour la connexion au système de commande et de contrôle (C2), un scanner de port et un utilitaire de persistance – à son carquois, ont indiqué les chercheurs.
Groupe de menace en évolution
Witchetty d'abord a attiré l'attention des chercheurs d'ESET en avril. Ils ont identifié le groupe comme l'un des trois sous-groupes de TA410, une vaste opération de cyberespionnage ayant des liens avec le groupe Cicada (alias APT10) qui cible généralement les services publics basés aux États-Unis ainsi que les organisations diplomatiques au Moyen-Orient et en Afrique, ont indiqué les chercheurs. dit. Les autres sous-groupes de TA410, suivis par ESET, sont FlowingFrog et JollyFrog.
Lors de son activité initiale, Witchetty a utilisé deux logiciels malveillants : une porte dérobée de premier niveau connue sous le nom de X4 et une charge utile de deuxième niveau connue sous le nom de LookBack – pour cibler les gouvernements, les missions diplomatiques, les organisations caritatives et les organisations industrielles/manufacturières.
Dans l'ensemble, les récentes attaques montrent que le groupe apparaît comme une menace redoutable et avisée qui combine une connaissance des points faibles de l'entreprise avec son propre développement d'outils personnalisés pour éliminer les « cibles d'intérêt », ont noté les chercheurs de Symantec.
"L'exploitation des vulnérabilités sur les serveurs publics lui permet d'accéder aux organisations, tandis que des outils personnalisés associés à une utilisation habile de tactiques de vie hors du territoire lui permettent de maintenir une présence persistante à long terme dans l'organisation ciblée", disent-ils. a écrit dans le message.
Détails spécifiques de l'attaque contre une agence gouvernementale
Des détails spécifiques d'une attaque contre une agence gouvernementale au Moyen-Orient révèlent que Witchetty a persisté pendant sept mois et a plongé dans et hors de l'environnement de la victime pour mener des activités malveillantes à volonté.
L'attaque a débuté le 27 février, lorsque le groupe a exploité la vulnérabilité ProxyShell pour vider la mémoire du processus LSASS (Local Security Authority Subsystem Service), qui dans Windows est responsable de l'application de la politique de sécurité sur le système, et s'est ensuite poursuivie à partir de là. .
Au cours des six mois suivants, le groupe a continué à abandonner ses processus ; déplacé latéralement à travers le réseau ; exploité à la fois ProxyShell et ProxyLogon pour installer des webshells ; installé la porte dérobée LookBack ; exécuté un script PowerShell qui pourrait afficher les derniers comptes de connexion sur un serveur particulier ; et a tenté d'exécuter du code malveillant à partir des serveurs C2.
La dernière activité de l'attaque observée par les chercheurs s'est produite le 1er septembre, lorsque Witchetty a téléchargé des fichiers distants ; décompressé un fichier zip avec un outil de déploiement ; et exécuté des scripts PowerShell à distance ainsi que son outil proxy personnalisé pour contacter ses serveurs C2, ont-ils déclaré.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
