Нова група кібершпигунських загроз вражає цілі на Близькому Сході та в Африці за допомогою нового бекдора під назвою «Stegmap», який використовує рідко помічені стеганографія техніка приховування шкідливого коду в розміщеному зображенні.
Нещодавні атаки показали, що група під назвою Witchetty, або LookingFrog вдосконалює свій набір інструментів, додає складну тактику ухилення та використовує відомі вразливості Microsoft Exchange ProxyShell та ProxyLogon. Дослідники з Symantec Threat Hunter спостерігали, як група встановлювала веб-оболонки на загальнодоступних серверах, викрадала облікові дані, а потім розповсюджувалася по мережах для розповсюдження зловмисного програмного забезпечення. у своєму блозі опубліковано 29 вер.
За їхніми словами, під час атак з лютого по вересень Вітчетті націлився на уряди двох країн Близького Сходу та фондову біржу африканської країни.
ProxyShell складається з трьох відомих і виправлених недоліків — CVE-2021-34473, CVE-2021-34523 та CVE-2021-31207 — поки ProxyLogon складається з двох, CVE-2021-26855 та CVE-2021-27065. Обидва широко використовувалися зловмисниками з моменту їх першого виявлення в серпні 2021 року та грудні 2020 року відповідно — атаки, які тривають, оскільки багато серверів Exchange залишаються невиправленими.
Нещодавня діяльність Witchetty також показує, що група додала новий бекдор до свого арсеналу під назвою Stegmap, який використовує стеганографію — приховану техніку, яка ховає корисне навантаження на зображенні, щоб уникнути виявлення.
Як працює бекдор Stegmap
У своїх останніх атаках Witchetty продовжувала використовувати наявні інструменти, але також додала Stegmap, щоб конкретизувати свій арсенал, кажуть дослідники. За словами авторів, бекдор використовує стеганографію для вилучення свого корисного навантаження з растрового зображення, використовуючи техніку «для маскування шкідливого коду в, здавалося б, нешкідливих на вигляд файлах зображень».
Інструмент використовує завантажувач DLL для завантаження растрового файлу, який виглядає як старий логотип Microsoft Windows, зі сховища GitHub. «Однак корисне навантаження приховано у файлі та розшифровується за допомогою ключа XOR», — йдеться в повідомленні дослідників.
Замаскувавши корисне навантаження таким чином, зловмисники можуть розмістити його на безкоштовній надійній службі, яка з набагато меншою ймовірністю підніме червоний прапорець, ніж контрольований зловмисником сервер керування (C2), зазначили вони.
Після завантаження бекдор виконує типові дії, такі як видалення каталогів; копіювання, переміщення та видалення файлів; запуск нових процесів або знищення існуючих; читання, створення або видалення розділів реєстру або встановлення значень ключів; і викрадення локальних файлів.
На додаток до Stegmap, За словами дослідників, Witchetty також додав три інші спеціальні інструменти — утиліту проксі для підключення до командно-контрольної системи (C2), сканер портів і утиліту збереження даних.
Еволюційна група загроз
Witchetty спочатку привернув увагу дослідників ESET в квітні. Вони ідентифікували групу як одну з трьох підгруп TA410, широкомасштабної кібершпигунської операції з деякими зв’язками з групою Cicada (така ж APT10), яка зазвичай націлена на комунальні підприємства США, а також дипломатичні організації на Близькому Сході та в Африці, дослідники. сказав. Інші підгрупи TA410, як відстежує ESET, це FlowingFrog і JollyFrog.
У початкових діях Witchetty використовував дві частини зловмисного програмного забезпечення — бекдор першого рівня, відомий як X4, і корисне навантаження другого рівня, відоме як LookBack — для нападу на уряди, дипломатичні представництва, благодійні організації та промислові/виробничі організації.
Загалом нещодавні атаки показують, що ця група стає грізною та кмітливою загрозою, яка поєднує знання слабких місць підприємства з розробкою власних спеціальних інструментів для знищення «цілей, що представляють інтерес», відзначили дослідники Symantec.
«Використання вразливостей на загальнодоступних серверах забезпечує йому шлях до організацій, а спеціальні інструменти в поєднанні з вмілим використанням тактики життя поза межами землі дозволяють підтримувати довгострокову постійну присутність у цільовій організації», — вони написав у дописі.
Конкретні деталі атаки на державну установу
Конкретні деталі атаки на державну установу на Близькому Сході показують, що Вітчетті зберігав наполегливість протягом семи місяців і занурювався в оточення жертви та виходив із неї, щоб виконувати шкідливі дії за бажанням.
Атака почалася 27 лютого, коли група використала вразливість ProxyShell, щоб отримати дамп пам’яті процесу Local Security Authority Subsystem Service (LSASS), який у Windows відповідає за застосування політики безпеки в системі, і потім продовжила звідти .
Протягом наступних шести місяців група продовжувала дампувати процеси; переміщені вбік по мережі; використовували ProxyShell і ProxyLogon для встановлення веб-оболонок; встановлено бекдор LookBack; виконував сценарій PowerShell, який міг виводити останні облікові записи для входу на певний сервер; і намагався виконати шкідливий код із серверів C2.
Остання активність атаки, яку спостерігали дослідники, сталася 1 вересня, коли Witchetty завантажив віддалені файли; розпакував zip-файл за допомогою засобу розгортання; і виконував віддалені сценарії PowerShell, а також свій спеціальний проксі-інструмент для зв’язку з його серверами C2, сказали вони.
