קבוצת איומי ריגול סייבר מתפתחת פוגעת במטרות במזרח התיכון ובאפריקה עם דלת אחורית חדשנית המכונה "Stegmap", המשתמשת במאפיין נדיר שנראה סטגנוגרפיה טכניקה להסתרת קוד זדוני בתמונה מתארחת.
התקפות אחרונות מראות שהקבוצה - המכונה Witchetty, הידועה בשם LookingFrog - מחזקת את סט הכלים שלה, מוסיפה טקטיקות התחמקות מתוחכמות ומנצלת פגיעויות ידועות של Microsoft Exchange ProxyShell ו ProxyLogon. חוקרים מ-Symantec Threat Hunter צפו בקבוצה כשהיא מתקין קונכיות בשרתים הפונה לציבור, גונבת אישורים ואז מתפשטת לרוחב ברשתות כדי להפיץ תוכנות זדוניות, הם חשפו בפוסט בבלוג פורסם ב-29 בספטמבר.
בהתקפות בין פברואר לספטמבר, וויצ'טי תקף את הממשלות של שתי מדינות במזרח התיכון ואת הבורסה של מדינה אפריקאית בהתקפות שהשתמשו בוקטור האמור לעיל.
ProxyShell מורכב משלושה פגמים ידועים ומתוקנים - CVE-2021-34473, CVE-2021-34523, ו CVE-2021-31207 - בזמן ProxyLogon מורכב משניים, CVE-2021-26855 ו CVE-2021-27065. שניהם נוצלו באופן נרחב על ידי גורמי איומים מאז שהם נחשפו לראשונה באוגוסט 2021 ודצמבר 2020, בהתאמה - התקפות שנמשכות ככל שרתי Exchange נותרות ללא תיקון.
הפעילות האחרונה של Witchetty מראה גם שהקבוצה הוסיפה דלת אחורית חדשה לארסנל שלה, הנקראת Stegmap, שמשתמשת בסטגנוגרפיה - טכניקה חמקנית שמסתירה את המטען בתמונה כדי למנוע זיהוי.
כיצד פועלת הדלת האחורית של Stegmap
בהתקפות האחרונות שלה, Witchetty המשיכה להשתמש בכלים הקיימים שלה, אבל גם הוסיפה Stegmap כדי לעצב את הארסנל שלה, אמרו החוקרים. הדלת האחורית משתמשת בסטגנוגרפיה כדי לחלץ את המטען שלה מתמונת סיביות, תוך שימוש בטכניקה "להסוות קוד זדוני בקבצי תמונה שנראים תמימים לכאורה", אמרו.
הכלי משתמש במטען DLL כדי להוריד קובץ מפת סיביות שנראה כמו לוגו ישן של Microsoft Windows ממאגר GitHub. "עם זאת, המטען מוסתר בתוך הקובץ ומפוענח באמצעות מפתח XOR", אמרו החוקרים בפוסט שלהם.
על ידי הסוואת המטען בדרך זו, התוקפים יכולים לארח אותו בשירות חינמי ומהימן שסביר להניח שהוא ירים דגל אדום הרבה פחות מאשר שרת פיקוד ושליטה (C2) הנשלט על ידי תוקפים, הם ציינו.
לאחר ההורדה, הדלת האחורית ממשיכה לעשות דברים טיפוסיים לדלת האחורית, כגון הסרת ספריות; העתקה, העברה ומחיקה של קבצים; התחלת תהליכים חדשים או הרג קיימים; קריאה, יצירה או מחיקה של מפתחות רישום, או הגדרת ערכי מפתח; וגניבת קבצים מקומיים.
בנוסף ל-Stegmap, Witchetty הוסיפה גם שלושה כלים מותאמים אישית נוספים - כלי פרוקסי לחיבור לפקודה ושליטה (C2), סורק יציאות וכלי עזר להתמדה - לרטט שלו, אמרו החוקרים.
קבוצת איומים מתפתחת
מכשפת ראשונה משך את תשומת לבם של חוקרים ב-ESET באפריל. החוקרים זיהו את הקבוצה כאחת משלוש תת-קבוצות של TA410, מבצע ריגול סייבר רחב עם כמה קישורים לקבוצת Cicada (המכונה APT10) המכוונת בדרך כלל לשירותים מבוססי ארה"ב וכן לארגונים דיפלומטיים במזרח התיכון ובאפריקה. אמר. תת-הקבוצות האחרות של TA410, לפי מעקב של ESET, הן FlowingFrog ו- JollyFrog.
בפעילות ראשונית, Witchetty השתמשה בשני חלקים של תוכנות זדוניות - דלת אחורית בשלב ראשון הידועה בשם X4 ומטען שלב שני המכונה LookBack - כדי למקד ממשלות, משלחות דיפלומטיות, ארגוני צדקה וארגוני תעשייה/ייצור.
בסך הכל, ההתקפות האחרונות מראות שהקבוצה מתגלה כאיום אדיר ומתמצא המשלב ידע על נקודות תורפה ארגוניות עם פיתוח כלים מותאם אישית משלה כדי להוציא "יעדי עניין", ציינו חוקרי סימנטק.
"ניצול של נקודות תורפה בשרתים הפונה לציבור מספק לו נתיב לתוך ארגונים, בעוד שכלים מותאמים אישית בשילוב עם שימוש מיומן בטקטיקות של חיים מחוץ לאדמה מאפשרים לו לשמור על נוכחות מתמשכת ארוכת טווח בארגון ממוקד", הם כתב בפוסט.
פרטי תקיפה ספציפיים נגד סוכנות ממשלתית
פרטים ספציפיים של מתקפה על סוכנות ממשלתית במזרח התיכון חושפים את Witchetty שמקפיד על התמדה במהלך שבעה חודשים וצלל פנימה והחוצה מסביבתו של הקורבן כדי לבצע פעילות זדונית כרצונו.
המתקפה החלה ב-27 בפברואר, כשהקבוצה ניצלה את הפגיעות של ProxyShell כדי לזרוק את הזיכרון של תהליך Subsystem Service (LSASS) של Local Security Authority Subsystem Service - שב-Windows אחראי לאכיפת מדיניות האבטחה על המערכת - ולאחר מכן המשיכה משם. .
במהלך ששת החודשים הבאים הקבוצה המשיכה לזרוק תהליכים; נע לרוחב על פני הרשת; ניצל גם את ProxyShell וגם ProxyLogon כדי להתקין webshells; התקינו את הדלת האחורית של LookBack; ביצע סקריפט PowerShell שיכול להוציא את חשבונות הכניסה האחרונים בשרת מסוים; וניסו להפעיל קוד זדוני משרתי C2.
הפעילות האחרונה של המתקפה שחוקרים צפו בה התרחשה ב-1 בספטמבר, כאשר Witchetty הורידה קבצים מרוחקים; פירוק קובץ zip עם כלי פריסה; והוציאו לפועל סקריפטים מרוחקים של PowerShell כמו גם את כלי ה-proxy המותאם אישית שלו כדי ליצור קשר עם שרתי ה-C2 שלה, אמרו.
