Sikkerhedsforskere har opdaget en ondsindet kampagne fra hackinggruppen ‘Witchetty’, der bruger steganografi til at skjule en bagdørsmalware i et Windows-logo.
Witchetty menes at have tætte bånd til den statsstøttede kinesiske trusselsaktør APT10 (alias ‘Cicada’). Gruppen betragtes også som en del af TA410-operatørerne, der tidligere var knyttet til angreb mod amerikanske energiudbydere.
Symantec rapporterer, at trusselsgruppen driver en ny cyberspionage kampagne, der blev lanceret i februar 2022, der var målrettet mod to regeringer i Mellemøsten og en børs i Afrika og stadig er i gang.
Brug af Windows-logoet mod dig
I denne kampagne opdaterede hackerne deres værktøjssæt til at målrette mod forskellige sårbarheder og brugte steganografi til at skjule deres ondsindede nyttelast fra antivirussoftware.
Steganografi er handlingen med at skjule data i andre ikke-hemmelige, offentlige oplysninger eller computerfiler, såsom et billede, for at undgå detektion. For eksempel kan en hacker oprette en fungerende billedfil, der vises korrekt på computeren, men også indeholder ondsindet kode, der kan udvindes fra den.
I kampagnen opdaget af Symantec bruger Witchetty steganografi til at skjule en XOR-krypteret bagdørsmalware i et gammelt Windows-logo bitmap-billede.
Windows-logo, der skjuler nyttelasten (Kilde:Symantec)
Filen hostes på en betroet skytjeneste i stedet for trusselsaktørens kommando- og kontrolserver (C2), så chancerne for at hæve sikkerhedsalarmer, mens du henter den, minimeres.
“At skjule nyttelasten på denne måde gjorde det muligt for angriberne at være vært for den på en gratis, betroet tjeneste,” forklarer Symantec i sin rapport.
“Downloads fra betroede værter som GitHub er langt mindre tilbøjelige til at rejse røde flag end downloads fra en angriber styret kommando-og-kontrol (C&C) server.”
Angrebet begynder med, at trusselsaktørerne får indledende adgang til et netværk ved at udnytte Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207) og ProxyLogon (CVE-2021-26855 og CVE-2021-27065) angrebskæder til at droppe webshells på sårbare servere.
Dernæst henter trusselsaktørerne bagdøren, der gemmer sig i billedfilen, hvilket gør det muligt for dem at gøre følgende:
- Udfør fil- og mappehandlinger
- Start, optælle eller dræb processer
- Rediger Windows-registreringsdatabasen
- Download yderligere nyttelast
- Exfiltrere filer
Witchetty introducerede også et brugerdefineret proxyværktøj, der får den inficerede computer til at fungere “som serveren og opretter forbindelse til en C&C-server, der fungerer som klient, i stedet for omvendt.”
Andre værktøjer inkluderer en brugerdefineret portscanner og et brugerdefineret persistensværktøj, der tilføjer sig selv i registreringsdatabasen som “NVIDIA display core component.”
Sammen med de brugerdefinerede værktøjer bruger Witchetty standardværktøjer som Mimikatzand til at dumpe legitimationsoplysninger fra LSASS og misbruger “lolbins” på værten, som CMD, WMIC og PowerShell.
TA410 og Witchetty forbliver aktive trusler mod regeringer og statslige organisationer i Asien, Afrika og rundt om i verden. Den bedste måde at forhindre dens angreb på er at anvende sikkerhedsopdateringer, når de frigives.
I kampagnen opdaget af Symantec, hackerne er afhængige af at udnytte sidste års sårbarheder til at bryde målnetværket og drage fordel af den dårlige administration af offentligt eksponerede servere.