Een opkomende cyberspionagedreigingsgroep heeft doelwitten in het Midden-Oosten en Afrika getroffen met een nieuwe achterdeur genaamd ‘Stegmap’, die gebruikmaakt van de zelden geziene steganografie techniek om kwaadaardige code in een gehoste afbeelding te verbergen.
Recente aanvallen laten zien dat de groep, genaamd Witchetty, ook wel LookingFrog genoemd, zijn toolset heeft versterkt, geavanceerde ontwijkingstactieken heeft toegevoegd en bekende kwetsbaarheden in Microsoft Exchange heeft misbruikt. ProxyShell en ProxyAanmelding. Onderzoekers van Symantec Threat Hunter observeerden hoe de groep webshells installeerde op openbare servers, inloggegevens stal en zich vervolgens lateraal over netwerken verspreidde om malware te verspreiden. in een blog post gepubliceerd op 29 september.
Bij aanvallen tussen februari en september richtte Witchetty zich op de regeringen van twee landen in het Midden-Oosten en de aandelenbeurs van een Afrikaanse natie, waarbij gebruik werd gemaakt van bovengenoemde vector, zeiden ze.
ProxyShell bestaat uit drie bekende en gerepareerde fouten: CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207 - terwijl ProxyAanmelding bestaat uit twee, CVE-2021-26855 en CVE-2021-27065. Beide zijn op grote schaal uitgebuit door bedreigingsactoren sinds ze voor het eerst werden onthuld in respectievelijk augustus 2021 en december 2020 – aanvallen die blijven bestaan omdat veel Exchange-servers nog steeds niet zijn gepatcht.
Uit de recente activiteit van Witchetty blijkt ook dat de groep een nieuwe achterdeur aan haar arsenaal heeft toegevoegd, genaamd Stegmap, die gebruik maakt van steganografie – een sluipende techniek die de lading in een afbeelding opslaat om detectie te voorkomen.
Hoe de Stegmap-achterdeur werkt
Bij de recente aanvallen bleef Witchetty zijn bestaande tools gebruiken, maar voegde ook Stegmap toe om zijn arsenaal uit te breiden, aldus de onderzoekers. De achterdeur maakt gebruik van steganografie om zijn lading uit een bitmapafbeelding te halen, waarbij gebruik wordt gemaakt van de techniek “om kwaadaardige code te vermommen in ogenschijnlijk onschadelijk uitziende afbeeldingsbestanden”, zeiden ze.
De tool gebruikt een DLL-lader om een bitmapbestand te downloaden dat lijkt op een oud Microsoft Windows-logo uit een GitHub-repository. “De payload is echter verborgen in het bestand en wordt gedecodeerd met een XOR-sleutel”, aldus de onderzoekers in hun bericht.
Door de payload op deze manier te verhullen, kunnen aanvallers deze hosten op een gratis, vertrouwde service die veel minder snel een waarschuwingssignaal zal geven dan een door de aanvaller bestuurde command-and-control (C2)-server, merkten ze op.
Zodra de achterdeur is gedownload, gaat hij verder met typische achterdeur-dingen, zoals het verwijderen van mappen; bestanden kopiëren, verplaatsen en verwijderen; het starten van nieuwe processen of het beëindigen van bestaande processen; registersleutels lezen, aanmaken of verwijderen, of sleutelwaarden instellen; en het stelen van lokale bestanden.
Naast Stegmap, Witchetty voegde ook drie andere aangepaste tools toe – een proxy-hulpprogramma voor verbinding met command-and-control (C2), een poortscanner en een persistentiehulpprogramma – aan zijn pijlkoker, aldus de onderzoekers.
Evoluerende dreigingsgroep
Witchette eerst trok de aandacht van onderzoekers van ESET in april. Ze identificeerden de groep als een van de drie subgroepen van TA410, een brede cyberspionageoperatie met enkele banden met de Cicada-groep (ook bekend als APT10) die zich doorgaans richt op Amerikaanse nutsbedrijven en diplomatieke organisaties in het Midden-Oosten en Afrika, aldus de onderzoekers. gezegd. De andere subgroepen van TA410, zoals gevolgd door ESET, zijn FlowingFrog en JollyFrog.
In de eerste fase gebruikte Witchetty twee soorten malware – een achterdeur uit de eerste fase, bekend als X4 en een payload uit de tweede fase, bekend als LookBack – om zich te richten op overheden, diplomatieke missies, liefdadigheidsinstellingen en industriële/productieorganisaties.
Over het geheel genomen laten de recente aanvallen zien dat de groep zich ontpopt als een formidabele en slimme dreiging die kennis van de zwakke plekken van ondernemingen combineert met de ontwikkeling van eigen aangepaste tools om “belangrijke doelwitten” uit te schakelen, merkten de onderzoekers van Symantec op.
“Het exploiteren van kwetsbaarheden op openbare servers biedt het een route naar organisaties, terwijl aangepaste tools in combinatie met bedreven gebruik van tactieken om van het land te leven het in staat stellen een langdurige, aanhoudende aanwezigheid in de beoogde organisatie te behouden”, stellen ze. schreef in de post.
Specifieke aanvalsdetails tegen overheidsinstanties
Specifieke details van een aanval op een overheidsinstantie in het Midden-Oosten laten zien dat Witchetty zeven maanden lang volhardde en in en uit de omgeving van het slachtoffer dook om naar believen kwaadaardige activiteiten uit te voeren.
De aanval begon op 27 februari, toen de groep misbruik maakte van de ProxyShell-kwetsbaarheid om het geheugen van het Local Security Authority Subsystem Service (LSASS)-proces te dumpen (dat in Windows verantwoordelijk is voor het afdwingen van het beveiligingsbeleid op het systeem) en ging van daaruit verder. .
In de loop van de volgende zes maanden bleef de groep processen dumpen; zijdelings over het netwerk verplaatst; exploiteerde zowel ProxyShell als ProxyLogon om webshells te installeren; installeerde de LookBack-achterdeur; voerde een PowerShell-script uit dat de laatste login-accounts op een bepaalde server kon uitvoeren; en probeerde kwaadaardige code uit te voeren vanaf C2-servers.
De laatste activiteit van de aanval die onderzoekers observeerden vond plaats op 1 september, toen Witchetty externe bestanden downloadde; een zip-bestand gedecomprimeerd met een implementatietool; en voerde externe PowerShell-scripts uit, evenals de aangepaste proxy-tool om contact te maken met de C2-servers, zeiden ze.
