กลุ่มจารกรรมใช้ช่องโหว่ลับๆ ต่อต้านรัฐบาล ตลาดหลักทรัพย์

กลุ่มภัยคุกคามจารกรรมทางไซเบอร์ที่เกิดขึ้นใหม่ได้โจมตีเป้าหมายในตะวันออกกลางและแอฟริกาด้วยประตูหลังใหม่ที่เรียกว่า "Stegmap" ซึ่งใช้สิ่งที่ไม่ค่อยพบเห็น ซูรินาเม เทคนิคการซ่อนโค้ดที่เป็นอันตรายในรูปภาพที่โฮสต์

การโจมตีล่าสุดแสดงให้เห็นว่ากลุ่มที่เรียกว่า Witchetty หรือที่รู้จักในชื่อ LookingFrog ได้เสริมความแข็งแกร่งให้กับชุดเครื่องมือ เพิ่มกลยุทธ์การหลีกเลี่ยงที่ซับซ้อน และใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ที่ทราบ พร็อกซีเชลล์ และ เข้าสู่ระบบพร็อกซี่. นักวิจัยจาก Symantec Threat Hunter สังเกตเห็นกลุ่มที่ติดตั้ง webshells บนเซิร์ฟเวอร์สาธารณะ ขโมยข้อมูลประจำตัว จากนั้นแพร่กระจายไปทั่วทั้งเครือข่ายเพื่อเผยแพร่มัลแวร์ พวกเขาเปิดเผยว่า ในโพสต์บล็อก เผยแพร่ 29 กันยายน

ในการโจมตีระหว่างเดือนกุมภาพันธ์ถึงกันยายน วิตเช็ตตีมุ่งเป้าไปที่รัฐบาลของสองประเทศในตะวันออกกลางและตลาดหลักทรัพย์ของประเทศในแอฟริกาในการโจมตีที่ใช้เวกเตอร์ที่กล่าวมาข้างต้น พวกเขากล่าว

ProxyShell ประกอบด้วยข้อบกพร่องที่ทราบและมีการแก้ไขสามประการ — CVE-2021-34473, CVE-2021-34523และ CVE-2021-31207 - ในขณะที่ เข้าสู่ระบบพร็อกซี่ ประกอบด้วยสอง, CVE-2021-26855 และ CVE-2021-27065. ทั้งสองถูกโจมตีอย่างกว้างขวางโดยผู้คุกคามนับตั้งแต่เปิดเผยครั้งแรกในเดือนสิงหาคม 2021 และธันวาคม 2020 ตามลำดับ — การโจมตียังคงมีอยู่เนื่องจากเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ได้รับแพตช์

กิจกรรมล่าสุดของ Witchetty ยังแสดงให้เห็นว่ากลุ่มนี้ได้เพิ่มประตูหลังใหม่ลงในคลังแสงที่เรียกว่า Stegmap ซึ่งใช้เทคนิคการซ่อนเร้นซึ่งเป็นเทคนิคที่ซ่อนเร้นซึ่งจะซ่อนข้อมูลน้ำหนักบรรทุกไว้ในภาพเพื่อหลีกเลี่ยงการตรวจจับ

Stegmap Backdoor ทำงานอย่างไร

ในการโจมตีครั้งล่าสุด Witchetty ยังคงใช้เครื่องมือที่มีอยู่ต่อไป แต่ยังเพิ่ม Stegmap เพื่อขยายคลังแสงของมันด้วย นักวิจัยกล่าว แบ็คดอร์ใช้การปกปิดข้อมูลเพื่อแยกข้อมูลออกจากภาพบิตแมป โดยใช้ประโยชน์จากเทคนิค “เพื่อปลอมแปลงรหัสที่เป็นอันตรายในไฟล์ภาพที่ดูเหมือนไม่มีอันตราย” พวกเขากล่าว

เครื่องมือนี้ใช้ตัวโหลด DLL เพื่อดาวน์โหลดไฟล์บิตแมปที่ดูเหมือนเป็นโลโก้ Microsoft Windows เก่าจากที่เก็บ GitHub “อย่างไรก็ตาม เพย์โหลดถูกซ่อนอยู่ภายในไฟล์และถูกถอดรหัสด้วยคีย์ XOR” นักวิจัยกล่าวในโพสต์ของพวกเขา

ด้วยการปลอมแปลงเพย์โหลดในลักษณะนี้ ผู้โจมตีสามารถโฮสต์มันบนบริการฟรีและเชื่อถือได้ ซึ่งมีโอกาสน้อยที่จะทำให้เกิดธงสีแดงมากกว่าเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ที่ผู้โจมตีควบคุม พวกเขาตั้งข้อสังเกต

เมื่อดาวน์โหลดแบ็คดอร์แล้ว จะทำสิ่งแบ็คดอร์ทั่วไปต่อไป เช่น การลบไดเร็กทอรี การคัดลอก การย้าย และการลบไฟล์ การเริ่มกระบวนการใหม่หรือการฆ่ากระบวนการที่มีอยู่ การอ่าน การสร้าง หรือการลบรีจิสตรีคีย์ หรือการตั้งค่าคีย์ และขโมยไฟล์ในเครื่อง

นอกจาก Stegmap แล้ว, Witchetty ยังได้เพิ่มเครื่องมือแบบกำหนดเองอีกสามชนิด ได้แก่ ยูทิลิตี้พร็อกซีสำหรับเชื่อมต่อกับคำสั่งและการควบคุม (C2) เครื่องสแกนพอร์ต และยูทิลิตี้คงอยู่ ให้กับตัวสั่น นักวิจัยกล่าว

กลุ่มภัยคุกคามที่กำลังพัฒนา

แม่มดก่อน ดึงดูดความสนใจของนักวิจัยที่ ESET ในเดือนเมษายน พวกเขาระบุว่ากลุ่มนี้เป็นหนึ่งในสามกลุ่มย่อยของ TA410 ซึ่งเป็นปฏิบัติการจารกรรมทางไซเบอร์ในวงกว้างพร้อมลิงก์บางส่วนไปยังกลุ่มจั๊กจั่น (หรือ APT10) ซึ่งโดยทั่วไปกำหนดเป้าหมายไปที่ระบบสาธารณูปโภคในสหรัฐฯ เช่นเดียวกับองค์กรทางการฑูตในตะวันออกกลางและแอฟริกา นักวิจัย พูดว่า. กลุ่มย่อยอื่นๆ ของ TA410 ตามที่ ESET ติดตาม ได้แก่ FlowingFrog และ JollyFrog

ในกิจกรรมเริ่มแรก Witchetty ใช้มัลแวร์สองชิ้น — แบ็คดอร์ระยะแรกที่เรียกว่า X4 และเพย์โหลดระยะที่สองที่เรียกว่า LookBack — เพื่อกำหนดเป้าหมายรัฐบาล คณะทูต องค์กรการกุศล และองค์กรอุตสาหกรรม/การผลิต

โดยรวมแล้ว การโจมตีล่าสุดแสดงให้เห็นว่ากลุ่มนี้กลายเป็นภัยคุกคามที่น่าเกรงขามและรอบรู้ โดยผสมผสานความรู้เกี่ยวกับจุดอ่อนขององค์กรเข้ากับการพัฒนาเครื่องมือที่ปรับแต่งเองเพื่อกำจัด “เป้าหมายที่สนใจ” นักวิจัยของไซแมนเทคตั้งข้อสังเกต

“การใช้ประโยชน์จากช่องโหว่บนเซิร์ฟเวอร์สาธารณะช่วยให้มีเส้นทางไปยังองค์กรต่างๆ ในขณะที่เครื่องมือแบบกำหนดเองที่จับคู่กับการใช้กลยุทธ์การใช้ชีวิตนอกพื้นที่อย่างเชี่ยวชาญ ช่วยให้สามารถรักษาสถานะในระยะยาวและถาวรในองค์กรเป้าหมายได้” พวกเขา เขียนในโพสต์

รายละเอียดการโจมตีเฉพาะต่อหน่วยงานของรัฐ

รายละเอียดเฉพาะของการโจมตีหน่วยงานรัฐบาลในตะวันออกกลางเผยให้เห็นว่า Witchetty ยังคงยืนหยัดอย่างต่อเนื่องตลอดระยะเวลาเจ็ดเดือน และเข้าและออกจากสภาพแวดล้อมของเหยื่อเพื่อทำกิจกรรมที่เป็นอันตรายตามต้องการ

การโจมตีเริ่มต้นเมื่อวันที่ 27 กุมภาพันธ์ เมื่อกลุ่มใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อถ่ายโอนข้อมูลหน่วยความจำของกระบวนการ Local Security Authority Subsystem Service (LSASS) ซึ่งใน Windows มีหน้าที่รับผิดชอบในการบังคับใช้นโยบายความปลอดภัยบนระบบ จากนั้นจึงดำเนินการต่อจากที่นั่น .

ในช่วงหกเดือนข้างหน้า กลุ่มยังคงทิ้งกระบวนการต่างๆ ต่อไป ย้ายไปด้านข้างผ่านเครือข่าย ใช้ประโยชน์จากทั้ง ProxyShell และ ProxyLogon เพื่อติดตั้ง webshells ติดตั้งแบ็คดอร์ LookBack; รันสคริปต์ PowerShell ที่สามารถส่งออกบัญชีเข้าสู่ระบบล่าสุดบนเซิร์ฟเวอร์เฉพาะ และพยายามรันโค้ดที่เป็นอันตรายจากเซิร์ฟเวอร์ C2

กิจกรรมล่าสุดของการโจมตีที่นักวิจัยสังเกตเห็นเกิดขึ้นเมื่อวันที่ 1 กันยายน เมื่อ Witchetty ดาวน์โหลดไฟล์ระยะไกล แตกไฟล์ zip ด้วยเครื่องมือปรับใช้ และดำเนินการสคริปต์ PowerShell ระยะไกลรวมถึงเครื่องมือพร็อกซีแบบกำหนดเองเพื่อติดต่อกับเซิร์ฟเวอร์ C2 พวกเขากล่าว