Ortaya çıkan bir siber casusluk tehdit grubu, nadiren görülen bir arka kapı kullanan "Stegmap" adlı yeni bir arka kapıyla Orta Doğu ve Afrika'daki hedefleri vuruyor. steganografi Barındırılan bir görüntüdeki kötü amaçlı kodu gizleme tekniği.
Son saldırılar, Witchetty, diğer adıyla LookingFrog adlı grubun araç setini güçlendirdiğini, gelişmiş kaçınma taktikleri eklediğini ve bilinen Microsoft Exchange güvenlik açıklarından yararlandığını gösteriyor ProxyKabuğu ve ProxyOturum açma. Symantec Threat Hunter'dan araştırmacılar, grubun halka açık sunuculara web kabukları yüklediğini, kimlik bilgilerini çaldığını ve ardından kötü amaçlı yazılım yaymak için ağlara yanal olarak yayıldığını gözlemlediler. bir blog yazısı 29 Eylül'de yayınlandı.
Witchetty'nin Şubat ve Eylül ayları arasındaki saldırılarda, söz konusu vektörü kullanan saldırılarda iki Orta Doğu ülkesinin hükümetlerini ve bir Afrika ülkesinin borsasını hedef aldığı belirtildi.
ProxyShell bilinen ve yamalı üç kusurdan oluşur: CVE-2021-34473, CVE-2021-34523, ve CVE-2021-31207 - sırasında ProxyOturum açma iki kişiden oluşur, CVE-2021-26855 ve CVE-2021-27065. Her ikisi de, sırasıyla Ağustos 2021 ve Aralık 2020'de ilk kez ortaya çıktıklarından bu yana tehdit aktörleri tarafından geniş çapta istismar edildi; çok sayıda Exchange Sunucusu yamasız kaldığı için saldırılar devam ediyor.
Witchetty'nin son faaliyetleri aynı zamanda grubun cephaneliğine Stegmap adı verilen ve tespit edilmekten kaçınmak için yükü bir görüntüde saklayan gizli bir teknik olan steganografiyi kullanan yeni bir arka kapı eklediğini gösteriyor.
Stegmap Arka Kapısı Nasıl Çalışır?
Araştırmacılar, Witchetty'nin son saldırılarında mevcut araçlarını kullanmaya devam ettiğini ancak cephaneliğini genişletmek için Stegmap'i de eklediğini söyledi. Arka kapının, yükünü bir bitmap görüntüsünden çıkarmak için steganografi kullandığını ve "görünüşte zararsız görünen görüntü dosyalarındaki kötü amaçlı kodu gizlemek" tekniğinden yararlandığını söylediler.
Araç, GitHub deposundan eski bir Microsoft Windows logosu gibi görünen bir bit eşlem dosyasını indirmek için bir DLL yükleyici kullanıyor. Araştırmacılar, gönderilerinde "Ancak, yük dosyanın içinde gizleniyor ve bir XOR anahtarıyla şifresi çözülüyor" dedi.
Saldırganların yükü bu şekilde gizleyerek, kırmızı bayrak çıkarma ihtimalinin saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuna göre çok daha az olan ücretsiz, güvenilir bir hizmette barındırılabileceğini belirttiler.
Arka kapı, indirildikten sonra dizinleri kaldırmak gibi tipik arka kapı işlemlerini yapmaya devam eder; dosyaları kopyalamak, taşımak ve silmek; yeni süreçlerin başlatılması veya mevcut süreçlerin sonlandırılması; kayıt defteri anahtarlarını okumak, oluşturmak veya silmek ya da anahtar değerlerini ayarlamak; ve yerel dosyaları çalmak.
Stegmap'e ek olarak, Araştırmacılar, Witchetty'nin ayrıca kılıfına üç özel araç daha eklediğini söyledi: komuta ve kontrole (C2) bağlanmak için bir proxy yardımcı programı, bir bağlantı noktası tarayıcısı ve bir kalıcılık yardımcı programı.
Gelişen Tehdit Grubu
İlk önce büyücülük ESET'teki araştırmacıların dikkatini çekti Nisan içinde. Araştırmacılar, grubu, tipik olarak ABD merkezli tesislerin yanı sıra Orta Doğu ve Afrika'daki diplomatik kuruluşları hedef alan Cicada grubuyla (aka APT410) bazı bağlantıları olan geniş bir siber casusluk operasyonu olan TA10'un üç alt grubundan biri olarak tanımladılar. söz konusu. TA410'un ESET tarafından takip edilen diğer alt grupları FlowingFrog ve JollyFrog'dur.
Witchetty, ilk faaliyette hükümetleri, diplomatik misyonları, hayır kurumlarını ve endüstriyel/imalat kuruluşlarını hedef almak için iki kötü amaçlı yazılım (X4 olarak bilinen birinci aşama arka kapı ve LookBack olarak bilinen ikinci aşama veri) kullandı.
Symantec araştırmacıları, genel olarak son saldırıların, grubun kurumsal zayıf noktalara ilişkin bilgiyi kendi özel araç geliştirmesiyle birleştirerek "ilgili hedefleri" ortadan kaldıran zorlu ve bilinçli bir tehdit olarak ortaya çıktığını gösterdiğini belirtti.
"Kamuya açık sunuculardaki güvenlik açıklarından yararlanılması, ona kuruluşlara giden bir yol sağlarken, arazide yaşama taktiklerinin ustaca kullanımıyla eşleştirilen özel araçlar, hedeflenen kuruluşta uzun vadeli, kalıcı bir varlığın korunmasına olanak tanıyor." yazıda yazdı.
Devlet Kurumuna Yönelik Spesifik Saldırı Detayları
Orta Doğu'da bir devlet kurumuna yapılan saldırının belirli ayrıntıları, Witchetty'nin yedi ay boyunca ısrarını sürdürdüğünü ve kurbanın ortamına girip çıkarak istediği zaman kötü niyetli faaliyetlerde bulunduğunu ortaya koyuyor.
Saldırı, 27 Şubat'ta grubun ProxyShell güvenlik açığından yararlanarak Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işleminin belleğini boşaltmasıyla başladı (Windows'ta sistemde güvenlik politikasının uygulanmasından sorumludur) ve oradan devam etti .
Sonraki altı ay boyunca grup, süreçleri boşaltmaya devam etti; ağ boyunca yanal olarak hareket etti; web kabuklarını yüklemek için hem ProxyShell hem de ProxyLogon'dan yararlandı; LookBack arka kapısını kurdu; belirli bir sunucudaki son oturum açma hesaplarının çıktısını alabilecek bir PowerShell betiği çalıştırıldı; ve C2 sunucularından kötü amaçlı kod yürütmeye çalıştı.
Araştırmacıların gözlemlediği saldırının son faaliyeti, Witchetty'nin uzak dosyaları indirdiği 1 Eylül'de gerçekleşti; bir dağıtım aracıyla bir zip dosyasının sıkıştırmasını açtı; ve C2 sunucularıyla iletişim kurmak için uzaktan PowerShell komut dosyalarının yanı sıra özel proxy aracını da çalıştırdıklarını söylediler.
