Um grupo emergente de ameaças de ciberespionagem tem atingido alvos no Oriente Médio e na África com um novo backdoor chamado “Stegmap”, que usa o raramente visto esteganografia técnica para ocultar código malicioso em uma imagem hospedada.
Ataques recentes mostram o grupo – chamado Witchetty, também conhecido como LookingFrog – fortalecendo seu conjunto de ferramentas, adicionando táticas de evasão sofisticadas e explorando vulnerabilidades conhecidas do Microsoft Exchange. ProxyShell e Proxy Logon. Pesquisadores do Symantec Threat Hunter observaram o grupo instalando webshells em servidores públicos, roubando credenciais e depois se espalhando lateralmente pelas redes para propagar malware, revelaram. em um post de blog publicado em 29 de setembro.
Em ataques entre Fevereiro e Setembro, Witchetty teve como alvo os governos de dois países do Médio Oriente e a bolsa de valores de uma nação africana em ataques que utilizaram o vector acima mencionado, disseram.
O ProxyShell é composto por três falhas conhecidas e corrigidas – CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 - enquanto Proxy Logon é composto por dois, CVE-2021-26855 e CVE-2021-27065. Ambos foram amplamente explorados por agentes de ameaças desde que foram revelados pela primeira vez em agosto de 2021 e dezembro de 2020, respectivamente – ataques que persistem enquanto muitos servidores Exchange permanecem sem correção.
A atividade recente de Witchetty também mostra que o grupo adicionou um novo backdoor ao seu arsenal, chamado Stegmap, que emprega esteganografia – uma técnica furtiva que esconde a carga útil em uma imagem para evitar a detecção.
Como funciona o backdoor do Stegmap
Em seus ataques recentes, o Witchetty continuou a usar as ferramentas existentes, mas também adicionou o Stegmap para aprimorar seu arsenal, disseram os pesquisadores. O backdoor usa esteganografia para extrair sua carga de uma imagem bitmap, aproveitando a técnica “para disfarçar código malicioso em arquivos de imagem de aparência aparentemente inócua”, disseram eles.
A ferramenta usa um carregador de DLL para baixar um arquivo bitmap que parece ser um logotipo antigo do Microsoft Windows de um repositório GitHub. “No entanto, a carga útil está oculta no arquivo e é descriptografada com uma chave XOR”, disseram os pesquisadores em seu post.
Ao disfarçar a carga desta forma, os invasores podem hospedá-la em um serviço gratuito e confiável, com muito menos probabilidade de levantar uma bandeira vermelha do que um servidor de comando e controle (C2) controlado pelo invasor, observaram.
O backdoor, uma vez baixado, passa a fazer coisas típicas de backdoor, como remover diretórios; copiar, mover e excluir arquivos; iniciar novos processos ou eliminar os existentes; ler, criar ou excluir chaves de registro ou definir valores de chave; e roubar arquivos locais.
Além do Stegmap, Witchetty também adicionou três outras ferramentas personalizadas – um utilitário de proxy para conexão com comando e controle (C2), um scanner de porta e um utilitário de persistência – ao seu quiver, disseram os pesquisadores.
Grupo de ameaças em evolução
Bruxa primeiro chamou a atenção de pesquisadores da ESET em abril. Eles identificaram o grupo como um dos três subgrupos do TA410, uma ampla operação de ciberespionagem com algumas ligações ao grupo Cicada (também conhecido como APT10) que normalmente tem como alvo empresas de serviços públicos sediadas nos EUA, bem como organizações diplomáticas no Médio Oriente e em África, disseram os investigadores. disse. Os outros subgrupos do TA410, monitorados pela ESET, são FlowingFrog e JollyFrog.
Na atividade inicial, Witchetty usou dois tipos de malware – um backdoor de primeiro estágio conhecido como X4 e uma carga útil de segundo estágio conhecida como LookBack – para atingir governos, missões diplomáticas, instituições de caridade e organizações industriais/de manufatura.
No geral, os ataques recentes mostram o grupo emergindo como uma ameaça formidável e inteligente que combina o conhecimento dos pontos fracos da empresa com o desenvolvimento de sua própria ferramenta personalizada para eliminar “alvos de interesse”, observaram os pesquisadores da Symantec.
“A exploração de vulnerabilidades em servidores públicos fornece uma rota para as organizações, enquanto ferramentas personalizadas combinadas com o uso adequado de táticas de vida fora da terra permitem manter uma presença persistente e de longo prazo na organização-alvo”, eles escreveu no post.
Detalhes específicos de ataques contra agências governamentais
Detalhes específicos de um ataque a uma agência governamental no Oriente Médio revelam que Witchetty manteve persistência ao longo de sete meses e entrou e saiu do ambiente da vítima para realizar atividades maliciosas à vontade.
O ataque começou em 27 de fevereiro, quando o grupo explorou a vulnerabilidade ProxyShell para despejar a memória do processo Local Security Authority Subsystem Service (LSASS) – que no Windows é responsável por aplicar a política de segurança no sistema – e continuou a partir daí. .
Ao longo dos seis meses seguintes, o grupo continuou a descartar processos; movido lateralmente pela rede; explorou ProxyShell e ProxyLogon para instalar webshells; instalou o backdoor LookBack; executou um script do PowerShell que poderia gerar as últimas contas de login em um servidor específico; e tentou executar código malicioso de servidores C2.
A última atividade do ataque observada pelos pesquisadores ocorreu em 1º de setembro, quando Witchetty baixou arquivos remotos; descompactou um arquivo zip com uma ferramenta de implantação; e executou scripts remotos do PowerShell, bem como sua ferramenta de proxy personalizada para entrar em contato com seus servidores C2, disseram eles.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
