Egy feltörekvő kiberkémkedéssel fenyegető csoport közel-keleti és afrikai célpontokat sújt a „Stegmap” névre keresztelt újszerű hátsó ajtóval, amely ritkán látható szteganográfia technika a rosszindulatú kódok elrejtésére egy hosztolt képen.
A legutóbbi támadások azt mutatják, hogy a csoport – a Witchetty, azaz LookingFrog – megerősíti eszközkészletét, kifinomult kijátszási taktikákat ad hozzá, és kihasználja a Microsoft Exchange ismert sebezhetőségeit. ProxyShell és a ProxyLogon. A Symantec Threat Hunter kutatói megfigyelték, hogy a csoport webshelleket telepített nyilvános szerverekre, hitelesítő adatokat lopott, majd oldalirányban terjed a hálózatokon, hogy rosszindulatú programokat terjeszthessen. Egy blogbejegyzésben szeptember 29-én jelent meg.
A február és szeptember közötti támadások során a Witchetty két közel-keleti ország kormányát és egy afrikai nemzet tőzsdéjét vette célba a fent említett vektort használó támadásokkal.
A ProxyShell három ismert és javított hibából áll - CVE-2021 34473-, CVE-2021 34523-és CVE-2021 31207- — közben ProxyLogon kettőből áll, CVE-2021 26855- és a CVE-2021 27065-. Mindkettőt széles körben kihasználták a fenyegetés szereplői, mióta először 2021 augusztusában, illetve 2020 decemberében felfedték őket – a támadások addig tartanak, amíg sok Exchange-kiszolgálót nem javítottak ki.
A Witchetty közelmúltbeli tevékenysége azt is mutatja, hogy a csoport egy új hátsó ajtóval bővítette arzenálját, a Stegmap-et, amely szteganográfiát alkalmaz – egy olyan lopakodó technikát, amely elrejti a hasznos terhet a képen, hogy elkerülje az észlelést.
Hogyan működik a Stegmap Backdoor
A közelmúltbeli támadásai során a Witchetty továbbra is használta meglévő eszközeit, de hozzáadta a Stegmapot is, hogy kibővítse arzenálját, mondták a kutatók. A hátsó ajtó szteganográfiával kinyeri a hasznos terhelést egy bittérképes képből, kihasználva azt a technikát, hogy „a rosszindulatú kódot ártalmatlannak tűnő képfájlokba álcázza” – mondták.
Az eszköz egy DLL-betöltőt használ a régi Microsoft Windows logónak tűnő bittérkép-fájl letöltéséhez egy GitHub-tárolóból. "A hasznos adat azonban el van rejtve a fájlban, és egy XOR kulccsal dekódolják" - írták a kutatók bejegyzésükben.
Megjegyezték, hogy a rakomány ily módon történő álcázásával a támadók egy ingyenes, megbízható szolgáltatáson tárolhatják azt, amely sokkal kevésbé valószínű, hogy piros zászlót emel ki, mint egy támadó által vezérelt parancs- és vezérlési (C2) szerver.
A letöltés után a hátsó ajtó folytatja a tipikus hátsó ajtó műveleteket, mint például a könyvtárak eltávolítása; fájlok másolása, áthelyezése és törlése; új folyamatok elindítása vagy a meglévők megsemmisítése; rendszerleíró kulcsok olvasása, létrehozása vagy törlése vagy kulcsértékek beállítása; és helyi fájlok ellopása.
A Stegmap mellett, A kutatók elmondása szerint a Witchetty három másik egyéni eszközt is hozzáadott – egy proxy-segédprogramot a parancs- és vezérléshez (C2), egy portszkenner és egy perzisztencia segédprogram.
Fejlődő fenyegető csoport
Először Boszorkány felkeltette az ESET kutatóinak figyelmét áprilisban. A kutatók a TA410 három alcsoportjának egyikeként azonosították a csoportot, egy széles körű kiberkémkedési műveletet, amely néhány kapcsolatban áll a Cicada csoporttal (más néven APT10), amely jellemzően az Egyesült Államokban működő közszolgáltatókat, valamint a közel-keleti és afrikai diplomáciai szervezeteket veszi célba. mondott. Az ESET által nyomon követett TA410 többi alcsoportja a FlowingFrog és a JollyFrog.
Kezdeti tevékenysége során a Witchetty két rosszindulatú programot – az X4 néven ismert első lépcsős hátsó ajtót és a LookBack néven ismert második lépcsős rakományt – használt kormányok, diplomáciai képviseletek, jótékonysági szervezetek és ipari/gyártó szervezetek megcélzására.
Összességében a közelmúltbeli támadások azt mutatják, hogy a csoport félelmetes és hozzáértő fenyegetésként jelenik meg, amely egyesíti a vállalat gyenge pontjainak ismeretét saját egyedi eszközfejlesztésével, hogy kivédje az „érdekes célpontokat” – állapították meg a Symantec kutatói.
„A nyilvános kiszolgálókon található sérülékenységek kihasználása utat biztosít a szervezetekhez, míg az egyedi eszközök és a földön kívüli életmód megfelelő használatával párosulva lehetővé teszik a hosszú távú, állandó jelenlét fenntartását a megcélzott szervezetben” írta a bejegyzésben.
A kormányhivatal elleni támadás konkrét részletei
A közel-keleti kormányhivatal elleni támadás konkrét részleteiből kiderül, hogy Witchetty hét hónapon keresztül kitartott, és belemerült az áldozat környezetébe, hogy tetszés szerint végezzen rosszindulatú tevékenységet.
A támadás február 27-én kezdődött, amikor a csoport a ProxyShell sebezhetőségét kihasználva kiürítette a Helyi biztonsági hatóság alrendszer-szolgáltatásának (LSASS) folyamatának memóriáját – amely a Windowsban a biztonsági szabályzat érvényesítéséért felelős a rendszeren –, majd onnan folytatta. .
A következő hat hónap során a csoport folytatta a folyamatok kiürítését; oldalirányban mozgott a hálózaton keresztül; a ProxyShellt és a ProxyLogont is kihasználta a webshellek telepítésére; telepítette a LookBack hátsó ajtót; végrehajtott egy PowerShell-szkriptet, amely ki tudta adni az utolsó bejelentkezési fiókokat egy adott kiszolgálón; és megpróbált rosszindulatú kódot futtatni a C2 szerverekről.
A kutatók által megfigyelt támadás utolsó tevékenysége szeptember 1-jén történt, amikor a Witchetty távoli fájlokat töltött le; kicsomagolt egy zip fájlt egy telepítőeszközzel; és távoli PowerShell-szkripteket, valamint egyéni proxyeszközt hajtott végre, hogy kapcsolatba lépjen a C2-szervereivel.
