Laut Bleepcomputer und Symantec führt die Bedrohungsorganisation immer noch ihre im Februar 2022 gestartete Cyberspionage-Aktion durch, die sich gegen zwei Länder im Nahen Osten und einen afrikanischen Aktienmarkt richtete.
Die Sicherheitsexperten haben eine gefährliche Operation des Hacker-Gruppe „Witchetty“ aufgedeckt, die mittels Steganografie Backdoor-Software in das Windows-Logo tarnt.
Es wird angenommen, dass Witchetty eng mit dem staatlich geförderten chinesischen Bedrohungsakteur APT10 (auch bekannt als „Cicada“) verbunden ist. Die Truppe gilt auch als TA410-Personal, das zuvor mit Streiks gegen amerikanische Energieversorger in Verbindung gebracht wurde.
Wie verläuft der Angriff?
Das Windows-Logo wird gegen die Benutzer verwendet. Die Hacker aktualisierten ihr Toolset für diesen Versuch, um auf andere Schwachstellen abzuzielen, und sie verwendeten Steganographie, um ihre schädliche Nutzlast vor Antivirensoftware zu schützen.
Bei einem Angriff auf eine Regierungsbehörde im Nahen Osten traten die ersten Anzeichen einer böswilligen Aktivität am 27. Februar 2022 auf, als die Angreifer die ProxyShell-Schwachstelle ausnutzten, um den Speicher des Local Security Authority Subsystem Service (LSASS)-Prozesses mithilfe von comsvcs zu sichern. dll-Datei.
Während die Gruppe weiterhin die LookBack-Hintertür verwendet, scheinen mehrere neue Malware-Teile zu ihrem Toolset hinzugefügt worden zu sein. Eine davon ist Backdoor.Stegmap, die Steganografie nutzt, um ihre Nutzdaten aus einem Bitmap-Bild zu extrahieren. Obwohl Steganographie nur selten von Angreifern verwendet wird, kann sie bei erfolgreicher Ausführung genutzt werden, um bösartigen Code in scheinbar harmlos aussehenden Bilddateien zu tarnen.
Ein DLL-Loader lädt eine Bitmap-Datei aus einem GitHub-Repository herunter. Die Datei scheint einfach ein altes Microsoft Windows-Logo zu sein. Die Payload ist jedoch in der Datei versteckt und wird mit einem XOR-Schlüssel entschlüsselt.
Da die Datei auf einem seriösen Cloud-Anbieter und nicht auf dem Command-and-Control-Server (C2) des Angreifers gespeichert ist, besteht ein geringeres Risiko, dass ihr Erhalt Sicherheitswarnungen auslöst.
In seiner Recherche stellt Symantec fest, dass „die Verschleierung der Payload auf diese Weise den Angreifern ermöglichte, sie auf einem kostenlosen, vertrauenswürdigen Dienst zu hosten“.
Downloads von seriösen Servern wie GitHub geben weit weniger Anlass zur Sorge als Downloads von Command-and-Control-Servern (C&C), die unter der Kontrolle eines Angreifers stehen.
Durch die Verwendung der Angriffsketten Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) und ProxyLogon (CVE-2021-26855 und CVE-2021-27065), um Webshells auf anfällige zu setzen Servern erhalten die Bedrohungsakteure einen ersten Zugang zu einem Netzwerk und starten den Angriff.
Die Bedrohungsakteure rufen dann die in der Bilddatei verborgene Hintertür ab, die ihnen die folgenden Fähigkeiten verleiht:
Führt Verzeichnis- und Dateioperationen durch.
Prozesse starten, auflisten oder beenden
Änderungen in der Windows-Registrierung
Ladet weitere Payloads herunter.
Exfiltration von Dateien
Titelbild: Image by Werner Moser from Pixabay
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
Loading...
