Logo Windows z zaszytym złośliwym oprogramowaniem
Grupa cyberszpiegowska używa nowego backdoora, który wykorzystuje rzadko spotykaną technikę steganografii. Kampania grupy hakerskiej nazwanej przez badaczy z Symantec Threat Hunter „Witchetty”, wykorzystuje steganografię do ukrywania szkodliwego oprogramowania typu backdoor w logo Windows. Steganografia jest to metoda ukrywania informacji za pomocą innej informacji, w tym przypadku w logo MS Windows zaszyte zostało złośliwe oprogramowanie. Steganografia ma na celu ukrycie samego faktu istnienia tajnej wiadomości. Witchetty (znana również jako LookingFrog) stopniowo aktualizuje zestaw swoich narzędzi, wykorzystując nowe złośliwe oprogramowanie w atakach na cele na Bliskim Wschodzie i w Afryce. Wśród nowych narzędzi wykorzystywanych przez grupę znajduje się m.in. trojan typu backdoor (Backdoor.Stegmap), który wykorzystuje steganografię, rzadko spotykaną technikę, w której złośliwy kod jest ukryty w obrazie. W atakach między lutym a wrześniem 2022 r. Witchetty zaatakował rządy dwóch krajów Bliskiego Wschodu oraz giełdę jednego z krajów afrykańskich. Osoby atakujące wykorzystały luki umożliwiające uzyskanie dostępu: ProxyShell ( CVE-2021-34473 , CVE-2021-34523 i CVE-2021-31207 ) oraz ProxyLogon ( CVE-2021-26855 i CVE-2021-27065 ). Dzięki czemu wykradli dane uwierzytelniające, dostali się do wewnętrznej sieć i zainstalowali złośliwe oprogramowanie na komputerach. Chociaż grupa nadal korzysta z backdoora LookBack, wydaje się, że do jej zestawu narzędzi dodano kilka nowych szkodliwych programów. Jednym z nich jest Backdoor.Stegmap, który wykorzystuje steganografię do wyodrębnienia swojego ładunku z obrazu bitmapowego. Chociaż rzadko używana przez atakujących, jeśli zostanie pomyślnie wykonana, steganografia może zostać wykorzystana do ukrycia złośliwego kodu w pozornie niewinnie wyglądających plikach graficznych. Program ładujący DLL pobiera plik mapy bitowej z repozytorium GitHub. Plik wydaje się być po prostu starym logo Microsoft Windows. Jednak ładunek ukryty jest w pliku i jest odszyfrowywany za pomocą klucza XOR.
Rysunek 1. Obraz, którego atakujący użyli do ukrycia ładunku
Ukrycie ładunku w ten sposób umożliwiło atakującym hostowanie go w bezpłatnej, zaufanej usłudze. Pobieranie plików z zaufanych hostów, takich jak GitHub, nie wywołuje alertów w systemach bezpieczeństwa, tak jak pobieranie z serwera C&C. Ładunek jest w pełni funkcjonalnym backdoorem zdolnym do wykonywania następujących poleceń:
Kod Komenda
6 Utwórz katalog
7 Usuń katalog
8 Kopiuj pliki
9 Przenieś pliki
10 Usuń pliki
11 Rozpocznij nowy proces
12 Pobierz i uruchom plik wykonywalny z [ZDALNA NAZWA HOSTA]/master/cdn/site.htm
13 Nieznane (prawdopodobnie odczytuje standardowe wyjście z procesu utworzonego przez polecenie 12)
14 Zakończ proces utworzony poleceniem 12
15 Kradzież lokalnego pliku
19 Wymień procesy
20 Zamknij proces
21 Odczytaj klucz rejestru
22 Utwórz klucz rejestru
23 Ustaw wartość klucza rejestru
24 Usuń klucz rejestru
Inne nowe narzędzia wykorzystywane przez atakujących:
Niestandardowe narzędzie proxy: implementuje protokół podobny do SOCKS5, ale w tym przypadku zainfekowany komputer działa jako serwer i łączy się z serwerem C&C działającym jako klient, a nie na odwrót. Niestandardowy skaner portów: skanuje porty sieciowe w podsieci. Niestandardowe narzędzie do utrwalania: dodaje się do autostartu w rejestrze jako „podstawowy komponent wyświetlania NVIDIA” (przy użyciu regsrv32).
Zidentyfikowane sieci
88.218.193.76 (używane do hostowania złośliwego oprogramowania)
8.214.122.199
103.56.114.69
27.124.17.222
27.124.3.96