Исследователи Symantec обнаружили вредоносную кампанию хакерской группы Witchetty, которая использует стеганографию и скрывает бэкдор в изображении с логотипом Windows.

Эксперты напоминают, что хак-группа Witchetty связана с китайской группировкой APT10  (она же Cicada). Одна из последних кибершпионских кампаний злоумышленников началась в феврале 2022 года и нацелена на правительства в странах Ближнего Востока, а также фондовую биржу в Африке. Эта кампания продолжается до сих пор.

Специалисты заметили, что на этот раз хакеры расширили свой вредоносный инструментарий и стали использовать стеганографию в атаках: они скрывают бэкдор, зашифрованный при помощи XOR, в старом растровом изображении логотипа Windows.

Изображение, в котором хакеры прятали малварь

Благодаря такой маскировке, файл с бэкдором размещается в неназванном облачном сервисе, а не на управляющем сервере группировки, так как защитные решения не обнаруживают в нем вредоносный пейлоад.

«Загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают тревогу, чем загрузки с C&C сервера, контролируемого злоумышленником», — отмечают эксперты.

Атаки Witchetty начинается с того, что злоумышленники получают доступ к сети жертвы, используя уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE- 2021-27065), с помощью который внедряют веб-шеллы на уязвимые серверы.

Затем злоумышленники загружают и извлекают бэкдор, скрывающийся в файле изображения, который позволяет:

  • выполнять действия с файлами и каталогами;
  • запускать, перечислять или ликвидировать процессы;
  • изменять реестр Windows;
  • загружать дополнительные полезные нагрузки;
  • похищать файлы.

Также Witchetty использует специальную прокси-утилиту, которая вынуждает зараженный компьютер действовать «как сервер и подключается к C&C серверу, действующему как клиент, а не наоборот».

Другие инструменты преступников включают настраиваемый сканер портов и кастомную утилиту для закрепления в системе, которая добавляет себя в реестр под видом компонента NVIDIA display core.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии