一个新兴的网络间谍威胁组织利用一种名为“Stegmap”的新型后门攻击中东和非洲的目标,该后门使用了罕见的技术 隐秘 在托管图像中隐藏恶意代码的技术。
最近的攻击表明,该组织(名为 Witchetty,又名 LookingFrog)强化了其工具集,添加了复杂的规避策略,并利用已知的 Microsoft Exchange 漏洞 代理外壳 和 代理登录。赛门铁克威胁猎手的研究人员发现,该组织在面向公众的服务器上安装 Webshell,窃取凭据,然后在网络中横向传播以传播恶意软件。 在一篇博客文章 29 月 XNUMX 日发布。
他们说,在 2 月至 9 月期间的攻击中,威切蒂使用上述媒介进行攻击,目标是两个中东国家的政府和一个非洲国家的证券交易所。
ProxyShell 由三个已知且已修补的缺陷组成 - CVE-2021-34473, CVE-2021-34523及 CVE-2021-31207 - 尽管 代理登录 由两个组成, CVE-2021-26855 和 CVE-2021-27065。自分别于 2021 年 2020 月和 XNUMX 年 XNUMX 月首次披露以来,这两种攻击均已被威胁行为者广泛利用——由于许多 Exchange 服务器仍未修补,攻击持续存在。
Witchetty 最近的活动还表明,该组织在其武器库中添加了一个名为 Stegmap 的新后门,它采用隐写术——一种将有效负载隐藏在图像中以避免检测的隐秘技术。
Stegmap 后门如何工作
研究人员表示,在最近的攻击中,Witchetty 继续使用其现有工具,但还添加了 Stegmap 来充实其武器库。他们说,后门使用隐写术从位图图像中提取其有效负载,利用该技术“在看似无害的图像文件中伪装恶意代码”。
该工具使用 DLL 加载程序从 GitHub 存储库下载看似旧 Microsoft Windows 徽标的位图文件。研究人员在帖子中表示:“然而,有效负载隐藏在文件中,并使用 XOR 密钥进行解密。”
他们指出,通过以这种方式伪装有效负载,攻击者可以将其托管在免费、可信的服务上,与攻击者控制的命令和控制(C2)服务器相比,该服务引发危险信号的可能性要小得多。
后门一旦下载,就会继续执行典型的后门操作,例如删除目录;复制、移动和删除文件;启动新进程或终止现有进程;读取、创建或删除注册表项,或设置键值;并窃取本地文件。
除了 Stegmap 之外, 研究人员表示,Witchetty 还在其箭袋中添加了另外三个自定义工具——用于连接命令和控制 (C2) 的代理实用程序、端口扫描器和持久性实用程序。
不断演变的威胁组织
威切蒂第一 引起了 ESET 研究人员的注意 在四月份。研究人员将该组织确定为 TA410 的三个子组织之一,TA10 是一个广泛的网络间谍活动,与 Cicada 组织(又名 APT410)有一定联系,该组织通常针对美国公用事业以及中东和非洲的外交组织。说。 ESET 追踪的 TAXNUMX 的其他子组是 FlowingFrog 和 JollyFrog。
在最初的活动中,Witchetty 使用了两种恶意软件 - 第一阶段后门称为 X4,第二阶段有效负载称为 LookBack - 以政府、外交使团、慈善机构和工业/制造组织为目标。
赛门铁克研究人员指出,总体而言,最近的攻击表明该组织正在成为一种强大而精明的威胁,它将对企业弱点的了解与自己的定制工具开发相结合,以消灭“感兴趣的目标”。
“利用面向公众的服务器上的漏洞为其提供了进入组织的途径,而定制工具与熟练使用离地策略相结合使其能够在目标组织中保持长期、持续的存在,”他们帖子中写道。
针对政府机构的具体攻击细节
中东政府机构遭受攻击的具体细节显示,Witchetty 在七个月的时间里坚持不懈,并在受害者的环境中随意进行恶意活动。
该攻击始于 27 月 XNUMX 日,当时该组织利用 ProxyShell 漏洞转储本地安全机构子系统服务 (LSASS) 进程的内存(在 Windows 中该进程负责在系统上执行安全策略),然后从那里继续攻击。
在接下来的六个月里,该组织继续放弃流程;在网络中横向移动;利用 ProxyShell 和 ProxyLogon 来安装 webshell;安装了LookBack后门;执行一个 PowerShell 脚本,该脚本可以输出特定服务器上的最后登录帐户;并试图从 C2 服务器执行恶意代码。
研究人员观察到的最后一次攻击活动发生在 1 月 2 日,当时 Witchetty 下载了远程文件;使用部署工具解压zip文件;他们说,并执行远程 PowerShell 脚本及其自定义代理工具来联系其 CXNUMX 服务器。
