Il gruppo di spionaggio esercita una backdoor steganografica contro i governi, la borsa

Un gruppo emergente di minacce di spionaggio informatico ha colpito obiettivi in ​​Medio Oriente e in Africa con una nuova backdoor denominata “Stegmap”, che utilizza il metodo raramente visto steganografia tecnica per nascondere codice dannoso in un'immagine ospitata.

I recenti attacchi mostrano che il gruppo, chiamato Witchetty, alias LookingFrog, ha rafforzato il proprio set di strumenti, aggiungendo tattiche di evasione sofisticate, e sfruttando le vulnerabilità note di Microsoft Exchange ProxyShell ed Accesso proxy. I ricercatori di Symantec Threat Hunter hanno osservato il gruppo installare webshell su server rivolti al pubblico, rubare credenziali e poi diffondersi lateralmente attraverso le reti per propagare malware, hanno rivelato in un post sul blog pubblicato il 29 settembre.

Negli attacchi tra febbraio e settembre, Witchetty ha preso di mira i governi di due paesi del Medio Oriente e la borsa di una nazione africana con attacchi che hanno utilizzato il suddetto vettore.

ProxyShell comprende tre difetti noti e corretti: CVE-2021-34473, CVE-2021-34523e CVE-2021-31207 - Mentre Accesso proxy è composto da due CVE-2021-26855 ed CVE-2021-27065. Entrambi sono stati ampiamente sfruttati dagli autori delle minacce da quando sono stati rivelati per la prima volta rispettivamente nell'agosto 2021 e nel dicembre 2020: attacchi che persistono poiché molti server Exchange rimangono senza patch.

La recente attività di Witchetty mostra anche che il gruppo ha aggiunto una nuova backdoor al suo arsenale, chiamata Stegmap, che utilizza la steganografia, una tecnica furtiva che nasconde il carico utile in un'immagine per evitare di essere rilevata.

Come funziona la backdoor Stegmap

Nei suoi recenti attacchi, Witchetty ha continuato a utilizzare gli strumenti esistenti, ma ha anche aggiunto Stegmap per arricchire il suo arsenale, hanno detto i ricercatori. La backdoor utilizza la steganografia per estrarre il suo carico utile da un'immagine bitmap, sfruttando la tecnica "per mascherare codice dannoso in file di immagine dall'aspetto apparentemente innocuo", hanno affermato.

Lo strumento utilizza un caricatore DLL per scaricare un file bitmap che sembra essere un vecchio logo di Microsoft Windows da un repository GitHub. "Tuttavia, il payload è nascosto all'interno del file e viene decrittografato con una chiave XOR", hanno affermato i ricercatori nel loro post.

Mascherando il carico utile in questo modo, gli aggressori possono ospitarlo su un servizio gratuito e affidabile che ha molte meno probabilità di sollevare un allarme rispetto a un server di comando e controllo (C2) controllato dall'aggressore.

La backdoor, una volta scaricata, esegue le tipiche operazioni della backdoor, come rimuovere directory; copiare, spostare ed eliminare file; avviare nuovi processi o uccidere quelli esistenti; leggere, creare o eliminare chiavi di registro o impostare valori di chiave; e rubare file locali.

Oltre a Stegmap, Witchetty ha anche aggiunto altri tre strumenti personalizzati — un'utilità proxy per la connessione al comando e controllo (C2), uno scanner di porte e un'utilità di persistenza — al suo faretra, hanno detto i ricercatori.

Gruppo di minaccia in evoluzione

Prima la strega ha attirato l'attenzione dei ricercatori di ESET in Aprile. Hanno identificato il gruppo come uno dei tre sottogruppi di TA410, un'ampia operazione di spionaggio informatico con alcuni collegamenti al gruppo Cicada (noto anche come APT10) che in genere prende di mira servizi pubblici con sede negli Stati Uniti e organizzazioni diplomatiche in Medio Oriente e Africa. disse. Gli altri sottogruppi di TA410, tracciati da ESET, sono FlowingFrog e JollyFrog.

Nell'attività iniziale, Witchetty ha utilizzato due malware: una backdoor di prima fase nota come X4 e un payload di seconda fase noto come LookBack, per prendere di mira governi, missioni diplomatiche, enti di beneficenza e organizzazioni industriali/produttive.

Nel complesso, i recenti attacchi mostrano che il gruppo sta emergendo come una minaccia formidabile ed esperta che combina la conoscenza dei punti deboli dell’azienda con lo sviluppo di strumenti personalizzati per eliminare “obiettivi di interesse”, hanno osservato i ricercatori di Symantec.

"Lo sfruttamento delle vulnerabilità sui server rivolti al pubblico gli fornisce un percorso verso le organizzazioni, mentre gli strumenti personalizzati abbinati all'uso esperto di tattiche di vita fuori terra gli consentono di mantenere una presenza persistente a lungo termine nell'organizzazione presa di mira", hanno affermato. ha scritto nel post.

Dettagli specifici dell'attacco contro l'agenzia governativa

Dettagli specifici di un attacco a un'agenzia governativa in Medio Oriente rivelano che Witchetty ha mantenuto la persistenza nel corso di sette mesi ed è entrato e uscito dall'ambiente della vittima per svolgere attività dannose a piacimento.

L'attacco è iniziato il 27 febbraio, quando il gruppo ha sfruttato la vulnerabilità ProxyShell per scaricare la memoria del processo LSASS (Local Security Authority Subsystem Service) — che in Windows è responsabile dell'applicazione della politica di sicurezza sul sistema — e poi è continuato da lì .

Nel corso dei sei mesi successivi il gruppo ha continuato a scaricare i processi; spostato lateralmente attraverso la rete; sfruttato sia ProxyShell che ProxyLogon per installare webshell; installato la backdoor LookBack; eseguito uno script PowerShell che potrebbe restituire gli ultimi account di accesso su un particolare server; e ha tentato di eseguire codice dannoso dai server C2.

L'ultima attività dell'attacco osservata dai ricercatori è avvenuta l'1 settembre, quando Witchetty ha scaricato file remoti; decompresso un file zip con uno strumento di distribuzione; e ha eseguito script PowerShell remoti e il suo strumento proxy personalizzato per contattare i suoi server C2, hanno affermato.