Witchetty group: Κρύβει backdoor malware μέσα σε Windows logo

Ερευνητές ασφαλείας ανακάλυψαν μια κακόβουλη εκστρατεία από την ομάδα hacking “Witchetty”, η οποία χρησιμοποιεί steganography για να κρύψει ένα backdoor malware σε ένα logo των Windows.

Δείτε επίσης: Το νέο Chaos botnet στοχεύει Windows και Linux συστήματα

Η Witchetty πιστεύεται ότι έχει στενούς δεσμούς με τον υποστηριζόμενο από το κράτος κινέζικο απειλητικό παράγοντα APT10 (γνωστό και ως «Cicada»). Η ομάδα θεωρείται μέρος των λειτουργών της ομάδας TA410, που προηγουμένως είχε συνδεθεί με επιθέσεις εναντίον παρόχων ενέργειας των ΗΠΑ.

Δείτε επίσης: To NullMixer dropper μολύνει Windows PCs με 12 malware ταυτόχρονα

Η Symantec αναφέρει ότι η ομάδα απειλητικών παραγόντων διαχειρίζεται μια νέα εκστρατεία κυβερνοκατασκοπείας που ξεκίνησε τον Φεβρουάριο του 2022 που στόχευε δύο κυβερνήσεις στη Μέση Ανατολή και ένα χρηματιστήριο στην Αφρική και εξακολουθεί να βρίσκεται σε εξέλιξη.

Χρησιμοποιώντας το λογότυπο των Windows

Σε αυτήν την καμπάνια, οι χάκερ ανανέωσαν την εργαλειοθήκη τους για να στοχεύσουν διαφορετικά τρωτά σημεία και χρησιμοποίησαν steganography για να κρύψουν το κακόβουλο payload τους από το antivirus software.

Steganography είναι η πράξη της απόκρυψης δεδομένων με άλλες μη απόρρητες, δημόσιες πληροφορίες ή αρχεία υπολογιστή, όπως μια εικόνα, για να αποφευχθεί ο εντοπισμός. Για παράδειγμα, ένας χάκερ μπορεί να δημιουργήσει ένα λειτουργικό αρχείο εικόνας που εμφανίζεται σωστά στον υπολογιστή αλλά περιλαμβάνει και κακόβουλο κώδικα που μπορεί να εξαχθεί από αυτό.

Στην καμπάνια που ανακάλυψε η Symantec, η ομάδα Witchetty χρησιμοποιεί steganography για να κρύψει ένα backdoor malware κρυπτογραφημένο με XOR σε μια παλιά εικόνα bitmap του λογότυπου των Windows.

Το αρχείο φιλοξενείται σε μια αξιόπιστη υπηρεσία cloud αντί για τον command and control (C2) server του απειλητικού παράγοντα, επομένως ελαχιστοποιούνται οι πιθανότητες να “ανάψουν” συναγερμοί ασφαλείας κατά τη λήψη του.

«Η συγκάλυψη του payload με αυτόν τον τρόπο επέτρεψε στους εισβολείς να το φιλοξενήσουν σε μια δωρεάν, αξιόπιστη υπηρεσία», εξηγεί η Symantec στην έκθεσή της.

“Οι λήψεις από αξιόπιστους hosts όπως το GitHub είναι πολύ λιγότερο πιθανό να εμφανίσουν red flags από τις λήψεις από έναν command-and-control (C&C) server που ελέγχεται από τον εισβολέα.”

Δείτε επίσης: Τα Windows 11 σας προειδοποιούν όταν πληκτρολογείτε τον κωδικό πρόσβασής σας σε επικίνδυνες τοποθεσίες

Η επίθεση ξεκινά με τους απειλητικούς φορείς να αποκτούν αρχική πρόσβαση σε ένα δίκτυο εκμεταλλευόμενοι τις Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 και CVE-2021-31207) και ProxyLogon (CVE-2021-26855 και CVE- 2021-27065) αλυσίδες επίθεσης για να κάνουν drop web shells σε ευάλωτους servers.

Στη συνέχεια, οι απειλητικοί φορείς ανακτούν το backdoor που κρύβεται στο αρχείο εικόνας, η οποία τους επιτρέπει να κάνουν τα εξής:

• Εκτέλεση ενεργειών αρχείου και καταλόγου
• Εκκίνηση, απαρίθμηση ή τερματισμός διεργασιών
• Τροποποιήση του Windows Registry
• Λήψη πρόσθετων payloads
• Εξαγωγή αρχείων

Η Witchetty εισήγαγε και ένα προσαρμοσμένο proxy utility που κάνει τον μολυσμένο υπολογιστή να λειτουργεί “ως server και συνδέεται με έναν C&C server που λειτουργεί ως client, αντί για το αντίστροφο”.

Άλλα εργαλεία περιλαμβάνουν έναν προσαρμοσμένο client και ένα προσαρμοσμένο persistence utility που προστίθεται στο μητρώο ως “NVIDIA display core component”.

Μαζί με τα προσαρμοσμένα εργαλεία, το Witchetty χρησιμοποιεί τυπικά utilities όπως το Mimikatzand για το dump των credentials από το LSASS και καταχράται τα “lolbins” στον host, όπως CMD, WMIC και PowerShell.

Οι ομάδες TA410 και Witchetty παραμένουν ενεργές απειλές για κυβερνήσεις και κρατικούς οργανισμούς στην Ασία, την Αφρική και σε όλο τον κόσμο. Ο καλύτερος τρόπος για να αποτρέψετε τις επιθέσεις αυτές είναι να εφαρμόζετε τις ενημερώσεις ασφαλείας μόλις κυκλοφορούν.

Στην εκστρατεία που ανακάλυψε η Symantec, οι χάκερ βασίζονται στην εκμετάλλευση των τρωτών σημείων του περασμένου έτους για να παραβιάσουν το δίκτυο-στόχο, εκμεταλλευόμενοι την κακή διαχείριση των servers που εκτίθενται δημόσια.

Πηγή πληροφοριών: bleepingcomputer.com