Sebuah kelompok ancaman spionase dunia maya yang muncul telah mencapai target di Timur Tengah dan Afrika dengan pintu belakang baru yang dijuluki "Stegma", yang menggunakan cara yang jarang terlihat. steganografi teknik untuk menyembunyikan kode berbahaya dalam gambar yang dihosting.
Serangan terbaru menunjukkan kelompok โ disebut Witchetty, alias LookingFrog โ memperkuat set alatnya, menambahkan taktik penghindaran yang canggih, dan mengeksploitasi kerentanan Microsoft Exchange yang diketahui ProxyShell dan ProksiLogon. Peneliti dari Symantec Threat Hunter mengamati kelompok yang memasang webshell di server yang menghadap publik, mencuri kredensial, dan kemudian menyebar secara lateral di seluruh jaringan untuk menyebarkan malware, ungkap mereka. dalam posting blog diterbitkan 29 September.
Dalam serangan antara Februari dan September, Witchetty menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika dalam serangan yang menggunakan vektor tersebut, kata mereka.
ProxyShell terdiri dari tiga kelemahan yang diketahui dan ditambal โ CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207 - ketika ProksiLogon terdiri dari dua, CVE-2021-26855 dan CVE-2021-27065. Keduanya telah dieksploitasi secara luas oleh pelaku ancaman sejak pertama kali terungkap masing-masing pada Agustus 2021 dan Desember 2020 โ serangan yang bertahan karena banyak Server Exchange yang belum ditambal.
Aktivitas terbaru Witchetty juga menunjukkan bahwa kelompok tersebut telah menambahkan pintu belakang baru ke gudang senjatanya, yang disebut Stegmap, yang menggunakan steganografi โ teknik tersembunyi yang menyimpan muatan dalam gambar untuk menghindari deteksi.
Cara Kerja Pintu Belakang Stegmap
Dalam serangan baru-baru ini, Witchetty terus menggunakan alat yang ada, tetapi juga menambahkan Stegmap untuk menyempurnakan persenjataannya, kata para peneliti. Pintu belakang menggunakan steganografi untuk mengekstrak muatannya dari gambar bitmap, memanfaatkan teknik "untuk menyamarkan kode berbahaya dalam file gambar yang tampak tidak berbahaya," kata mereka.
Alat ini menggunakan pemuat DLL untuk mengunduh file bitmap yang tampaknya merupakan logo Microsoft Windows lama dari repositori GitHub. โNamun, payload disembunyikan di dalam file dan didekripsi dengan kunci XOR,โ kata para peneliti dalam posting mereka.
Dengan menyamarkan payload dengan cara ini, penyerang dapat menghostingnya di layanan gratis dan tepercaya yang jauh lebih kecil kemungkinannya untuk menaikkan bendera merah daripada server command-and-control (C2) yang dikendalikan penyerang, catat mereka.
Pintu belakang, setelah diunduh, melanjutkan untuk melakukan hal-hal pintu belakang yang khas, seperti menghapus direktori; menyalin, memindahkan, dan menghapus file; memulai proses baru atau mematikan yang sudah ada; membaca, membuat, atau menghapus kunci registri, atau mengatur nilai kunci; dan mencuri file lokal.
Selain Stegmap, Witchetty juga menambahkan tiga alat khusus lainnya - utilitas proxy untuk menghubungkan ke command-and-control (C2), pemindai port, dan utilitas ketekunan - ke quiver-nya, kata para peneliti.
Kelompok Ancaman yang Berkembang
Penyihir dulu menarik perhatian para peneliti di ESET pada bulan April. Mereka mengidentifikasi kelompok itu sebagai salah satu dari tiga subkelompok TA410, operasi spionase dunia maya yang luas dengan beberapa tautan ke kelompok Cicada (alias APT10) yang biasanya menargetkan utilitas yang berbasis di AS serta organisasi diplomatik di Timur Tengah dan Afrika, para peneliti dikatakan. Subgrup lain dari TA410, seperti yang dilacak oleh ESET, adalah FlowingFrog dan JollyFrog.
Dalam aktivitas awal, Witchetty menggunakan dua bagian malware โ backdoor tahap pertama yang dikenal sebagai X4 dan payload tahap kedua yang dikenal sebagai LookBack โ untuk menargetkan pemerintah, misi diplomatik, amal, dan organisasi industri/manufaktur.
Secara keseluruhan, serangan baru-baru ini menunjukkan kelompok tersebut muncul sebagai ancaman yang tangguh dan cerdas yang menggabungkan pengetahuan tentang titik lemah perusahaan dengan pengembangan alat kustomnya sendiri untuk mengambil โtarget yang diminatiโ, catat para peneliti Symantec.
โEksploitasi kerentanan pada server yang menghadap publik menyediakannya dengan rute ke organisasi, sementara alat khusus yang dipasangkan dengan penggunaan taktik hidup-off-the-land yang mahir memungkinkannya untuk mempertahankan kehadiran jangka panjang dan terus-menerus di organisasi yang ditargetkan,โ mereka tulis di postingan.
Detail Serangan Spesifik Terhadap Instansi Pemerintah
Rincian spesifik dari serangan terhadap lembaga pemerintah di Timur Tengah mengungkapkan Witchetty mempertahankan kegigihannya selama tujuh bulan dan masuk dan keluar dari lingkungan korban untuk melakukan aktivitas jahat sesuka hati.
Serangan dimulai pada 27 Februari, ketika kelompok tersebut mengeksploitasi kerentanan ProxyShell untuk membuang memori proses Layanan Subsistem Otoritas Keamanan Lokal (LSASS) โ yang di Windows bertanggung jawab untuk menegakkan kebijakan keamanan pada sistem โ dan kemudian dilanjutkan dari sana .
Selama enam bulan berikutnya kelompok tersebut terus melakukan proses dumping; dipindahkan secara lateral melintasi jaringan; mengeksploitasi ProxyShell dan ProxyLogon untuk menginstal webshell; memasang pintu belakang LookBack; mengeksekusi skrip PowerShell yang dapat menampilkan akun login terakhir di server tertentu; dan mencoba mengeksekusi kode berbahaya dari server C2.
Aktivitas terakhir serangan yang diamati peneliti terjadi pada 1 September, ketika Witchetty mengunduh file jarak jauh; mendekompresi file zip dengan alat penerapan; dan mengeksekusi skrip PowerShell jarak jauh serta alat proxy khusus untuk menghubungi server C2-nya, kata mereka.
