En framväxande cyberspionagehotgrupp har träffat mål i Mellanöstern och Afrika med en ny bakdörr kallad "Stegmap", som använder den sällan skådade steganografi teknik för att dölja skadlig kod i en värdbild.
De senaste attackerna visar att gruppen – kallad Witchetty, aka LookingFrog – stärker sin verktygsuppsättning, lägger till sofistikerade undanflyktstaktik och utnyttjar kända Microsoft Exchange-sårbarheter ProxyShell och ProxyLogon. Forskare från Symantec Threat Hunter observerade att gruppen installerade webbskal på offentliga servrar, stal referenser och sedan spred sig i sidled över nätverk för att sprida skadlig programvara, avslöjade de i ett blogginlägg publicerad 29 sept.
I attacker mellan februari och september riktade Witchetty sig mot regeringarna i två länder i Mellanöstern och börsen i en afrikansk nation i attacker som använde den tidigare nämnda vektorn, sa de.
ProxyShell består av tre kända och korrigerade brister — CVE-2021-34473, CVE-2021-34523och CVE-2021-31207 — medan ProxyLogon består av två, CVE-2021-26855 och CVE-2021-27065. Båda har utnyttjats flitigt av hotaktörer sedan de först avslöjades i augusti 2021 respektive december 2020 – attacker som kvarstår eftersom många Exchange-servrar förblir oparpade.
Witchettys senaste aktivitet visar också att gruppen har lagt till en ny bakdörr till sin arsenal, kallad Stegmap, som använder steganografi – en smygande teknik som stoppar nyttolasten i en bild för att undvika upptäckt.
Hur Stegmap-bakdörren fungerar
I sina senaste attacker fortsatte Witchetty att använda sina befintliga verktyg, men lade också till Stegmap för att utveckla sin arsenal, sa forskarna. Bakdörren använder steganografi för att extrahera sin nyttolast från en bitmappsbild, och utnyttjar tekniken "för att dölja skadlig kod i bildfiler som verkar oskadligt", sa de.
Verktyget använder en DLL-laddare för att ladda ner en bitmappsfil som verkar vara en gammal Microsoft Windows-logotyp från ett GitHub-förråd. "Men nyttolasten är dold i filen och dekrypteras med en XOR-nyckel", sa forskarna i sitt inlägg.
Genom att dölja nyttolasten på detta sätt kan angripare vara värd för den på en gratis, pålitlig tjänst som är mycket mindre sannolikt att höja en röd flagga än en angriparkontrollerad kommando-och-kontroll-server (C2), noterade de.
När bakdörren väl har laddats ner fortsätter den med att göra typiska bakdörrssaker, som att ta bort kataloger; kopiera, flytta och ta bort filer; starta nya processer eller döda befintliga; läsa, skapa eller ta bort registernycklar eller ställa in nyckelvärden; och stjäla lokala filer.
Förutom Stegmap, Witchetty har också lagt till tre andra anpassade verktyg – ett proxyverktyg för att ansluta till kommando-och-kontroll (C2), en portskanner och ett persistensverktyg – till sitt koger, sa forskarna.
Utvecklande hotgrupp
Witchetty först uppmärksammats av forskare vid ESET i april. De identifierade gruppen som en av tre undergrupper av TA410, en bred cyberspionageverksamhet med vissa kopplingar till Cicada-gruppen (aka APT10) som vanligtvis riktar sig till USA-baserade verktyg såväl som diplomatiska organisationer i Mellanöstern och Afrika, forskarna. sa. De andra undergrupperna av TA410, som spåras av ESET, är FlowingFrog och JollyFrog.
I den inledande aktiviteten använde Witchetty två delar av skadlig programvara – en bakdörr i första steget känd som X4 och en nyttolast i andra steg känd som LookBack – för att rikta in sig på regeringar, diplomatiska beskickningar, välgörenhetsorganisationer och industri-/tillverkningsorganisationer.
Sammantaget visar de senaste attackerna att gruppen framstår som ett formidabelt och kunnigt hot som kombinerar kunskap om företagets svaga punkter med sin egen anpassade verktygsutveckling för att ta bort "mål av intresse", noterade Symantec-forskarna.
"Utnyttjande av sårbarheter på offentliga servrar ger den en väg in i organisationer, medan anpassade verktyg i kombination med skicklig användning av levande-off-the-land-taktik gör det möjligt för den att upprätthålla en långsiktig, ihållande närvaro i riktad organisation," de skrev i inlägget.
Specifika attackdetaljer mot statlig myndighet
Specifika detaljer om en attack mot en statlig myndighet i Mellanöstern avslöjar Witchetty som bibehåller uthållighet under loppet av sju månader och dyker in och ut ur offrets miljö för att utföra skadlig aktivitet efter behag.
Attacken startade den 27 februari, när gruppen utnyttjade ProxyShell-sårbarheten för att dumpa minnet från Local Security Authority Subsystem Service (LSASS)-processen — som i Windows är ansvarig för att upprätthålla säkerhetspolicyn på systemet — och fortsatte sedan därifrån .
Under de kommande sex månaderna fortsatte gruppen att dumpa processer; flyttas i sidled över nätverket; utnyttjade både ProxyShell och ProxyLogon för att installera webbskal; installerade LookBack-bakdörren; körde ett PowerShell-skript som kunde mata ut de senaste inloggningskontona på en viss server; och försökte köra skadlig kod från C2-servrar.
Den sista aktiviteten av attacken som forskare observerade inträffade den 1 september, när Witchetty laddade ner fjärrfiler; dekomprimerade en zip-fil med ett distributionsverktyg; och körde fjärrstyrda PowerShell-skript såväl som dess anpassade proxyverktyg för att kontakta dess C2-servrar, sa de.
