新興のサイバースパイ脅威グループが、「Stegmap」と呼ばれる新しいバックドアを中東とアフリカの標的に攻撃しています。 ステガノグラフィー ホストされたイメージに悪意のあるコードを隠す手法。
最近の攻撃は、Witchetty、別名 LookingFrog と呼ばれるこのグループがツール セットを強化し、洗練された回避戦術を追加し、Microsoft Exchange の既知の脆弱性を悪用していることを示しています。 プロキシシェル & プロキシログオン. Symantec Threat Hunter の研究者は、このグループが Web シェルを公開サーバーにインストールし、資格情報を盗み、ネットワーク全体に拡散してマルウェアを拡散していることを発見しました。 ブログの記事で 29 月 XNUMX 日に公開されました。
XNUMX 月から XNUMX 月にかけての攻撃で、ウィチェッティは中東の XNUMX つの国の政府とアフリカの国の証券取引所を標的とし、前述のベクトルを使用した攻撃を行った、と彼らは述べています。
ProxyShell は、パッチが適用された XNUMX つの既知の欠陥で構成されています — CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - その間 プロキシログオン XNUMXつで構成され、 CVE-2021-26855 & CVE-2021-27065. どちらも、2021 年 2020 月と XNUMX 年 XNUMX 月にそれぞれ最初に明らかにされて以来、脅威アクターによって広く悪用されてきました。
Witchetty の最近の活動は、ステガノグラフィー (検出を回避するためにペイロードを画像に隠しておくステルス技術) を使用する Stegmap と呼ばれる新しいバックドアを、このグループが武器庫に追加したことも示しています。
Stegmap バックドアのしくみ
最近の攻撃では、Witchetti は既存のツールを引き続き使用しましたが、武器を強化するために Stegmap も追加したと研究者は述べています。 バックドアは、ステガノグラフィーを使用してビットマップ画像からペイロードを抽出し、「一見無害に見える画像ファイルで悪意のあるコードを偽装する」手法を利用しています。
このツールは、DLL ローダーを使用して、古い Microsoft Windows ロゴのように見えるビットマップ ファイルを GitHub リポジトリからダウンロードします。 「しかし、ペイロードはファイル内に隠され、XOR キーで復号化されます」と研究者は投稿で述べています。
このようにペイロードを偽装することで、攻撃者は、攻撃者が制御するコマンド アンド コントロール (C2) サーバーよりも危険信号を発する可能性がはるかに低い無料の信頼できるサービスでペイロードをホストできると、彼らは指摘しています。
バックドアは、ダウンロードされると、ディレクトリの削除など、典型的なバックドア操作を実行します。 ファイルのコピー、移動、および削除。 新しいプロセスを開始するか、既存のプロセスを強制終了します。 レジストリ キーの読み取り、作成、削除、またはキー値の設定。 ローカルファイルを盗みます。
ステグマップに加えて, Witchetty は、他にも 2 つのカスタム ツール (コマンド アンド コントロール (CXNUMX) に接続するためのプロキシ ユーティリティ、ポート スキャナー、永続化ユーティリティ) をその矢筒に追加した、と研究者は述べています。
進化する脅威グループ
ウィチェッティファースト ESETの研究者の注目を集めました 410月中。 彼らは、このグループを TA10 の 410 つのサブグループの XNUMX つとして特定しました。TAXNUMX は、Cicada グループ (別名 APTXNUMX) へのいくつかのリンクを持つ広範なサイバースパイ活動であり、通常、米国を拠点とする公益事業と中東およびアフリカの外交組織を標的にしていると研究者は述べています。言った。 ESET が追跡している TAXNUMX の他のサブグループは、FlowingFrog と JollyFrog です。
最初の活動で、Witchetty は 4 つのマルウェア (XXNUMX として知られる第 XNUMX 段階のバックドアと LookBack として知られる第 XNUMX 段階のペイロード) を使用して、政府、外交使節団、慈善団体、産業/製造組織を標的にしました。
全体として、最近の攻撃は、このグループが、企業の弱点に関する知識と独自のカスタム ツール開発を組み合わせて「関心のある標的」を排除する手ごわい巧妙な脅威として浮上していることを示している、と Symantec の研究者は指摘しています。
「公開サーバーの脆弱性を悪用することで、組織への侵入経路を提供する一方で、カスタム ツールを巧みに組み合わせて土地を離れて生活する戦術を組み合わせることで、標的の組織で長期的かつ永続的な存在を維持することができます」と彼らは述べています。ポストに書いた。
政府機関に対する具体的な攻撃の詳細
中東の政府機関に対する攻撃の具体的な詳細から、ウィチェッティが XNUMX か月間持続し続け、被害者の環境に出入りして意のままに悪意のある活動を行っていたことが明らかになりました。
攻撃は 27 月 XNUMX 日に開始され、グループは ProxyShell の脆弱性を悪用して Local Security Authority Subsystem Service (LSASS) プロセスのメモリをダンプし、Windows ではシステムにセキュリティ ポリシーを適用する役割を果たし、そこから継続しました。 .
次の 2 か月間、グループはプロセスのダンプを続けました。 ネットワーク全体で横方向に移動しました。 ProxyShell と ProxyLogon の両方を悪用して Webshell をインストールしました。 LookBack バックドアをインストールしました。 特定のサーバーでの最後のログイン アカウントを出力できる PowerShell スクリプトを実行しました。 CXNUMX サーバーから悪意のあるコードを実行しようとしました。
研究者が観察した最後の攻撃活動は、ウィチェッティがリモート ファイルをダウンロードした 1 月 2 日に発生しました。 展開ツールを使用して zip ファイルを解凍しました。 また、リモートの PowerShell スクリプトとカスタム プロキシ ツールを実行して、CXNUMX サーバーに接続したと彼らは述べています。
