Espionage Group używa steganograficznego backdoora przeciwko rządom, giełdzie

Powstająca grupa cyberprzestępcza atakująca cele na Bliskim Wschodzie i w Afryce za pomocą nowatorskiego backdoora o nazwie „Stegmap”, który wykorzystuje rzadko spotykany steganografia technika ukrywania złośliwego kodu w hostowanym obrazie.

Niedawne ataki pokazują, że grupa o nazwie Witchetty, znana również jako LookingFrog, wzmacnia swój zestaw narzędzi, dodaje wyrafinowane taktyki unikania ataków i wykorzystuje znane luki w zabezpieczeniach Microsoft Exchange Powłoka proxy i ProxyLogowanie. Badacze z Symantec Threat Hunter zaobserwowali, że grupa instaluje powłoki internetowe na serwerach dostępnych publicznie, kradnie dane uwierzytelniające, a następnie rozprzestrzenia się w sieci w celu rozprzestrzeniania złośliwego oprogramowania. w blogu opublikowano 29 września.

W atakach, które miały miejsce od lutego do września, Witchetty wziął za cel rządy dwóch krajów Bliskiego Wschodu i giełdę jednego z krajów afrykańskich, wykorzystując wspomniany wektor.

ProxyShell składa się z trzech znanych i załatanych błędów — CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - chwila ProxyLogowanie składa się z dwóch, CVE-2021-26855 i CVE-2021-27065. Obydwa są szeroko wykorzystywane przez podmioty zagrażające od czasu ich pierwszego ujawnienia, odpowiednio w sierpniu 2021 r. i grudniu 2020 r. — ataki, które trwają, ponieważ wiele serwerów Exchange pozostaje niezałatanych.

Niedawna aktywność Witchetty pokazuje również, że grupa dodała do swojego arsenału nowego backdoora o nazwie Stegmap, który wykorzystuje steganografię — ukrytą technikę, która ukrywa ładunek w obrazie, aby uniknąć wykrycia.

Jak działa backdoor Stegmap

Naukowcy twierdzą, że w swoich ostatnich atakach Witchetty w dalszym ciągu korzystał ze swoich istniejących narzędzi, ale dodał także Stegmap, aby udoskonalić swój arsenał. Backdoor wykorzystuje steganografię do wyodrębnienia swojego ładunku z obrazu bitmapowego, wykorzystując tę ​​technikę „w celu ukrycia złośliwego kodu w pozornie niewinnie wyglądających plikach obrazów” – stwierdzili.

Narzędzie wykorzystuje moduł ładujący DLL do pobrania pliku mapy bitowej, który wygląda jak stare logo Microsoft Windows z repozytorium GitHub. „Ładunek jest jednak ukryty w pliku i jest odszyfrowywany za pomocą klucza XOR” – napisali badacze w swoim poście.

Zauważyli, że ukrywając w ten sposób ładunek, napastnicy mogą udostępnić go w bezpłatnej, zaufanej usłudze, która z dużo mniejszym prawdopodobieństwem wywoła czerwoną flagę niż kontrolowany przez osobę atakującą serwer dowodzenia i kontroli (C2).

Po pobraniu backdoor wykonuje typowe czynności backdoora, takie jak usuwanie katalogów; kopiowanie, przenoszenie i usuwanie plików; rozpoczęcie nowych procesów lub zakończenie istniejących; odczytywanie, tworzenie lub usuwanie kluczy rejestru lub ustawianie wartości kluczy; i kradzież plików lokalnych.

Oprócz Stegmapa, Naukowcy twierdzą, że Witchetty dodał do swojego kołczanu także trzy inne niestandardowe narzędzia — narzędzie proxy do łączenia się z systemem dowodzenia i kontroli (C2), skaner portów i narzędzie do utrzymywania trwałości.

Ewoluująca grupa zagrożeń

Najpierw Witchetty przykuło uwagę badaczy z firmy ESET w kwietniu. Zidentyfikowali tę grupę jako jedną z trzech podgrup TA410, szeroko zakrojonej operacji cyberszpiegowskiej mającej pewne powiązania z grupą Cicada (znaną również jako APT10), która zazwyczaj atakuje amerykańskie przedsiębiorstwa użyteczności publicznej, a także organizacje dyplomatyczne na Bliskim Wschodzie i w Afryce – twierdzą badacze. powiedział. Pozostałe podgrupy TA410, śledzone przez firmę ESET, to FlowingFrog i JollyFrog.

W początkowej fazie Witchetty wykorzystał dwa złośliwe oprogramowanie — backdoora pierwszego etapu znanego jako X4 i ładunek drugiego etapu znanego jako LookBack — aby atakować rządy, misje dyplomatyczne, organizacje charytatywne oraz organizacje przemysłowe/produkcyjne.

Ogólnie rzecz biorąc, ostatnie ataki pokazują, że grupa ta wyłania się jako potężne i sprytne zagrożenie, które łączy wiedzę o słabych punktach przedsiębiorstwa z rozwojem własnych, niestandardowych narzędzi umożliwiających eliminowanie „celów będących przedmiotem zainteresowania” – zauważyli badacze firmy Symantec.

„Wykorzystywanie luk na serwerach dostępnych publicznie umożliwia mu przedostanie się do organizacji, podczas gdy niestandardowe narzędzia w połączeniu z umiejętnym wykorzystaniem taktyk życia poza ziemią pozwalają mu utrzymać długoterminową, trwałą obecność w docelowej organizacji” – mówią. napisał w poście.

Konkretne szczegóły ataku na agencję rządową

Konkretne szczegóły ataku na agencję rządową na Bliskim Wschodzie ujawniają, że Witchetty przez siedem miesięcy pozostawał nieustępliwy i wkraczał i wychodził ze środowiska ofiary, aby według własnego uznania wykonywać szkodliwe działania.

Atak rozpoczął się 27 lutego, kiedy grupa wykorzystała lukę w zabezpieczeniach ProxyShell w celu zrzucenia pamięci procesu usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS), który w systemie Windows jest odpowiedzialny za egzekwowanie polityki bezpieczeństwa w systemie, a następnie był kontynuowany. .

W ciągu następnych sześciu miesięcy grupa kontynuowała porzucanie procesów; przemieszczane poprzecznie przez sieć; wykorzystywał zarówno ProxyShell, jak i ProxyLogon do instalowania powłok internetowych; zainstalowałem backdoora LookBack; wykonał skrypt PowerShell, który mógł wyświetlić dane ostatniego logowania na określonym serwerze; i próbował wykonać złośliwy kod z serwerów C2.

Ostatnia zaobserwowana przez badaczy aktywność ataku miała miejsce 1 września, kiedy Witchetty pobrał zdalne pliki; zdekompresowano plik zip za pomocą narzędzia do wdrażania; i wykonywał zdalne skrypty PowerShell, a także niestandardowe narzędzie proxy do kontaktowania się z serwerami C2, powiedzieli.