Исследователи Symantec обнаружили вредоносную кампанию хакерской группы Witchetty, которая использует стеганографию и скрывает бэкдор в изображении с логотипом Windows.
Эксперты напоминают, что хак-группа Witchetty связана с китайской группировкой APT10 (она же Cicada). Одна из последних кибершпионских кампаний злоумышленников началась в феврале 2022 года и нацелена на правительства в странах Ближнего Востока, а также фондовую биржу в Африке. Эта кампания продолжается до сих пор.
Специалисты заметили, что на этот раз хакеры расширили свой вредоносный инструментарий и стали использовать стеганографию в атаках: они скрывают бэкдор, зашифрованный при помощи XOR, в старом растровом изображении логотипа Windows.
Благодаря такой маскировке, файл с бэкдором размещается в неназванном облачном сервисе, а не на управляющем сервере группировки, так как защитные решения не обнаруживают в нем вредоносный пейлоад.
«Загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают тревогу, чем загрузки с C&C сервера, контролируемого злоумышленником», — отмечают эксперты.
Атаки Witchetty начинается с того, что злоумышленники получают доступ к сети жертвы, используя уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE- 2021-27065), с помощью который внедряют веб-шеллы на уязвимые серверы.
Затем злоумышленники загружают и извлекают бэкдор, скрывающийся в файле изображения, который позволяет:
- выполнять действия с файлами и каталогами;
- запускать, перечислять или ликвидировать процессы;
- изменять реестр Windows;
- загружать дополнительные полезные нагрузки;
- похищать файлы.
Также Witchetty использует специальную прокси-утилиту, которая вынуждает зараженный компьютер действовать «как сервер и подключается к C&C серверу, действующему как клиент, а не наоборот».
Другие инструменты преступников включают настраиваемый сканер портов и кастомную утилиту для закрепления в системе, которая добавляет себя в реестр под видом компонента NVIDIA display core.
