Новая группа кибершпионажа атакует цели на Ближнем Востоке и в Африке с помощью нового бэкдора, получившего название «Stegmap», который использует редко встречающийся стеганография метод сокрытия вредоносного кода в размещенном образе.
Недавние атаки показывают, что группа под названием Witchetty, также известная как LookingFrog, укрепляет свой набор инструментов, добавляя изощренные тактики уклонения и используя известные уязвимости Microsoft Exchange. ПроксиШелл и ПроксиЛогон. Исследователи из Symantec Threat Hunter наблюдали за тем, как группа устанавливала веб-оболочки на общедоступных серверах, крала учетные данные, а затем распространялась по сети для распространения вредоносного ПО. в блоге опубликовано 29 сентября.
По их словам, в атаках в период с февраля по сентябрь Уитчетти нацелился на правительства двух ближневосточных стран и фондовую биржу африканской страны в атаках, которые использовали вышеупомянутый вектор.
ProxyShell состоит из трех известных и исправленных недостатков: CVE-2021-34473, CVE-2021-34523и CVE-2021-31207 - пока ПроксиЛогон состоит из двух, CVE-2021-26855 и CVE-2021-27065. Оба они широко использовались злоумышленниками с тех пор, как они были впервые обнаружены в августе 2021 года и декабре 2020 года соответственно — атаки, которые продолжаются, поскольку многие серверы Exchange остаются неисправленными.
Недавняя активность Witchetty также показывает, что группа добавила в свой арсенал новый бэкдор под названием Stegmap, который использует стеганографию — скрытый метод, который прячет полезную нагрузку в изображение, чтобы избежать обнаружения.
Как работает бэкдор Stegmap
По словам исследователей, в своих недавних атаках Witchetty продолжала использовать свои существующие инструменты, но также добавила Stegmap, чтобы конкретизировать свой арсенал. По их словам, бэкдор использует стеганографию для извлечения своей полезной нагрузки из растрового изображения, используя технику «для маскировки вредоносного кода в, казалось бы, безобидных файлах изображений».
Инструмент использует загрузчик DLL для загрузки файла растрового изображения, который выглядит как старый логотип Microsoft Windows, из репозитория GitHub. «Однако полезная нагрузка скрыта в файле и расшифровывается с помощью ключа XOR», — говорится в сообщении исследователей.
Они отметили, что, маскируя полезную нагрузку таким образом, злоумышленники могут разместить ее на бесплатной доверенной службе, которая с гораздо меньшей вероятностью вызовет тревогу, чем контролируемый злоумышленниками сервер управления и контроля (C2).
После загрузки бэкдор продолжает выполнять типичные для бэкдора действия, такие как удаление каталогов; копирование, перемещение и удаление файлов; запуск новых процессов или уничтожение существующих; чтение, создание или удаление разделов реестра или установка значений ключей; и кража локальных файлов.
В дополнение к Стегмапу, По словам исследователей, Witchetty также добавила в свой колчан три других пользовательских инструмента — прокси-утилиту для подключения к системе управления и контроля (C2), сканер портов и утилиту сохранения состояния.
Развивающаяся группа угроз
Уитчетти первый привлек внимание исследователей ESET в апреле. Они идентифицировали группу как одну из трех подгрупп TA410, крупной операции кибершпионажа с некоторыми связями с группой Cicada (также известной как APT10), которая обычно нацелена на американские коммунальные предприятия, а также на дипломатические организации на Ближнем Востоке и в Африке. сказал. Другими подгруппами TA410, отслеживаемыми ESET, являются FlowingFrog и JollyFrog.
На начальном этапе Уитчетти использовал две части вредоносного ПО — бэкдор первого этапа, известный как X4, и полезную нагрузку второго этапа, известную как LookBack, — для атак на правительства, дипломатические миссии, благотворительные организации и промышленные/производственные организации.
В целом, недавние атаки показывают, что группа превращается в грозную и сообразительную угрозу, которая сочетает в себе знание слабых мест предприятия с собственной разработкой инструментов для устранения «представляющих интерес целей», отмечают исследователи Symantec.
«Эксплуатация уязвимостей на общедоступных серверах обеспечивает доступ к организациям, в то время как специальные инструменты в сочетании с искусным использованием тактики выживания за пределами земли позволяют ему поддерживать долгосрочное и постоянное присутствие в целевой организации», — они написал в посте.
Подробности конкретной атаки на правительственное учреждение
Конкретные детали атаки на правительственное учреждение на Ближнем Востоке показывают, что Уитчетти сохранял настойчивость в течение семи месяцев и погружался в среду жертвы и выходил из нее, чтобы совершать злонамеренные действия по своему желанию.
Атака началась 27 февраля, когда группа воспользовалась уязвимостью ProxyShell для создания дампа памяти процесса службы подсистемы локальной безопасности (LSASS), который в Windows отвечает за применение политики безопасности в системе, а затем продолжилась оттуда. .
В течение следующих шести месяцев группа продолжала сбрасывать процессы; перемещается в поперечном направлении по сети; использовал ProxyShell и ProxyLogon для установки веб-оболочек; установил бэкдор LookBack; выполнил сценарий PowerShell, который мог вывести последние учетные записи входа на определенный сервер; и попытался выполнить вредоносный код с серверов C2.
Последняя активность атаки, которую наблюдали исследователи, произошла 1 сентября, когда Уитчетти загрузил удаленные файлы; распаковал zip-файл с помощью инструмента развертывания; и выполнял удаленные сценарии PowerShell, а также свой собственный прокси-инструмент для связи со своими C2-серверами, сказали они.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
