Nastajajoča kibernetsko vohunska grožnja napada tarče na Bližnjem vzhodu in v Afriki z novimi stranskimi vrati, imenovanimi »Stegmap«, ki uporabljajo redko vidne steganografija tehnika za skrivanje zlonamerne kode v gostujoči sliki.
Nedavni napadi kažejo, da skupina – imenovana Witchetty, alias LookingFrog – krepi svoj nabor orodij, dodaja prefinjene taktike utaj in izkorišča znane ranljivosti Microsoft Exchange ProxyShell in ProxyLogon. Raziskovalci iz Symantec Threat Hunter so opazili, kako skupina namešča spletne lupine na javne strežnike, krade poverilnice in se nato bočno širi po omrežjih za širjenje zlonamerne programske opreme, so razkrili. v blog post objavljeno 29. sept.
V napadih med februarjem in septembrom je Witchetty napadel vlade dveh bližnjevzhodnih držav in borzo afriške države v napadih, ki so uporabili prej omenjeni vektor, so povedali.
ProxyShell je sestavljen iz treh znanih in popravljenih napak — CVE-2021-34473, CVE-2021-34523in CVE-2021-31207 - medtem ProxyLogon je sestavljen iz dveh, CVE-2021-26855 in CVE-2021-27065. Oba so akterji groženj močno izkoriščali, odkar sta bila prvič razkrita avgusta 2021 oziroma decembra 2020 – napadi, ki vztrajajo, ko veliko strežnikov Exchange ostaja nepopravljenih.
Witchettyjeva nedavna dejavnost prav tako kaže, da je skupina dodala nova stranska vrata v svoj arzenal, imenovano Stegmap, ki uporablja steganografijo – prikrito tehniko, ki skrije koristni tovor v sliko, da se izogne zaznavanju.
Kako deluje stranska vrata Stegmap
V svojih nedavnih napadih je Witchetty še naprej uporabljal svoja obstoječa orodja, dodal pa je tudi Stegmap, da bi izpopolnil svoj arzenal, so povedali raziskovalci. Zakulisna vrata uporabljajo steganografijo za pridobivanje koristnega tovora iz bitne slike, pri čemer izkoriščajo tehniko "za prikrivanje zlonamerne kode v na videz neškodljivih slikovnih datotekah," so povedali.
Orodje uporablja nalagalnik DLL za prenos datoteke bitne slike, ki je videti kot stari logotip Microsoft Windows iz repozitorija GitHub. "Vendar pa je koristni tovor skrit v datoteki in je dešifriran s ključem XOR," so povedali raziskovalci v svoji objavi.
S prikrivanjem koristnega tovora na ta način ga lahko napadalci gostijo na brezplačni, zaupanja vredni storitvi, za katero je veliko manj verjetno, da bo dvignila rdečo zastavo kot strežnik za ukaze in nadzor (C2), ki ga nadzoruje napadalec, so opozorili.
Backdoor, ko je enkrat prenesen, nadaljuje z običajnimi stranskimi dejanji, kot je odstranjevanje imenikov; kopiranje, premikanje in brisanje datotek; zagon novih procesov ali ubijanje obstoječih; branje, ustvarjanje ali brisanje registrskih ključev ali nastavitev vrednosti ključev; in krajo lokalnih datotek.
Poleg Stegmapa, Witchetty je dodal tudi tri druga orodja po meri – pripomoček proxy za povezovanje z ukazom in nadzorom (C2), skener vrat in pripomoček za obstojnost – v svoj tulec, so povedali raziskovalci.
Razvijajoča se skupina groženj
Najprej Witchetty pritegnila pozornost raziskovalcev pri ESET aprila. Skupino so identificirali kot eno od treh podskupin TA410, široke operacije kibernetskega vohunjenja z nekaj povezavami s skupino Cicada (aka APT10), ki običajno cilja na podjetja s sedežem v ZDA ter diplomatske organizacije na Bližnjem vzhodu in v Afriki, so raziskovalci rekel. Drugi podskupini TA410, ki ju spremlja ESET, sta FlowingFrog in JollyFrog.
V začetni dejavnosti je Witchetty uporabil dva dela zlonamerne programske opreme – zakulisna vrata prve stopnje, znana kot X4, in koristno obremenitev druge stopnje, znana kot LookBack, da bi ciljala na vlade, diplomatske misije, dobrodelne ustanove in industrijske/proizvodne organizacije.
Na splošno nedavni napadi kažejo, da se skupina pojavlja kot mogočna in preudarna grožnja, ki združuje poznavanje šibkih točk podjetja z lastnim razvojem orodij po meri za uničenje »tarč, ki jih zanimajo«, so opozorili Symantecovi raziskovalci.
"Izkoriščanje ranljivosti na javnih strežnikih mu zagotavlja pot v organizacije, medtem ko mu prilagojena orodja skupaj s spretno uporabo taktike življenja zunaj zemlje omogočajo ohranjanje dolgoročne in vztrajne prisotnosti v ciljni organizaciji," so zapisali. zapisal v objavi.
Posebne podrobnosti o napadu na vladno agencijo
Posebne podrobnosti napada na vladno agencijo na Bližnjem vzhodu razkrivajo, da je Witchettyjeva v sedmih mesecih vztrajala in se potopila v žrtvino okolje in iz njega, da bi po svoji volji izvajala zlonamerno dejavnost.
Napad se je začel 27. februarja, ko je skupina izkoristila ranljivost ProxyShell za izpis pomnilnika procesa lokalne varnostne podsistemske storitve (LSASS), ki je v sistemu Windows odgovoren za uveljavljanje varnostne politike v sistemu, in nato nadaljevala od tam. .
V naslednjih šestih mesecih je skupina nadaljevala z odlaganjem procesov; premaknjena bočno po omrežju; izkoristil ProxyShell in ProxyLogon za namestitev spletnih lupin; namestili stranska vrata LookBack; izvedel skript PowerShell, ki bi lahko izpisal zadnje prijavljene račune na določenem strežniku; in poskušal izvesti zlonamerno kodo s strežnikov C2.
Zadnja aktivnost napada, ki so jo opazili raziskovalci, se je zgodila 1. septembra, ko je Witchetty prenesel oddaljene datoteke; dekompresiral datoteko zip z orodjem za uvajanje; in izvedel oddaljene skripte PowerShell ter svoje orodje proxy po meri za vzpostavitev stika s svojimi strežniki C2, so povedali.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
