Spyware gevonden verborgen in Microsoft-logo met behulp van stenografie • The Register

Internet-snuffelaars zijn betrapt op het verbergen van spyware in een oud Windows-logo bij een aanval op regeringen in het Midden-Oosten.

De Witchetty-bende gebruikte steganografie om achterdeur-Windows-malware – Backdoor.Stegmap genaamd – in de bitmapafbeelding te verbergen.

“Hoewel het zelden door aanvallers wordt gebruikt, kan steganografie, indien succesvol uitgevoerd, worden gebruikt om kwaadaardige code te verbergen in ogenschijnlijk onschuldig ogende afbeeldingsbestanden”, schreven onderzoekers van Symantec’s Threat Hunter Team deze week. “Door de payload op deze manier te vermommen, konden de aanvallers deze hosten op een gratis, vertrouwde service.”

ramen

Ziet er onschuldig uit, hoewel sysadmins het daar misschien niet mee eens zijn … De foto die voor de payload wordt gebruikt. Bron: Symantec

Voor zover we kunnen zien, compromitteert Witchetty eerst een netwerk, komt in een of meer systemen terecht, downloadt vervolgens deze afbeelding van bijvoorbeeld een repository op GitHub, pakt de spyware erin uit en voert deze uit.

Het op deze manier verbergen van de payload en het ergens onschadelijk online plaatsen van het bestand is een groot voordeel bij het ontwijken van beveiligingssoftware, aangezien “downloads van vertrouwde hosts zoals GitHub veel minder snel rode vlaggen veroorzaken dan downloads van een door een aanvaller bestuurd commando- and-control (C&C) server”, aldus het team.

Het is dus minder waarschijnlijk dat het ophalen van deze foto na het verkrijgen van eerste toegang interne alarmen veroorzaakt.

In april documenteerden analisten van de Europese cyberbeveiligingswinkel ESET Witchetty – die ze destijds LookingFrog noemden – als een van de drie subgroepen binnen TA410, een spionagegroep met losse banden met de APT10 (ook bekend als Cicada)-bende die bekend staat om haar aanvallen op ondernemingen in de Amerikaanse nutssector en diplomatieke organisaties in het Midden-Oosten en Afrika.

APT10, ook wel bekend als Red Apollo en Stone Panda, voerde eerder dit jaar een campagne tegen financiële dienstverleners in Taiwan. LookingFrog, FlowingFrog en JollyFrog zijn de drie subgroepen van TA410, waarbij LookingFrog zich volgens ESET richt op het Midden-Oosten en een klein deel van Afrika.

Het gebruik van Stegmap maakt deel uit van een grotere update van Witchetty’s toolset, schreven de onderzoekers van Symantec. Het is bekend dat de groep een backdoor van de eerste fase gebruikt die bekend staat als X4 en een payload van de tweede fase genaamd LookBack, die volgens ESET gericht is op regeringen, diplomatieke missies, liefdadigheidsinstellingen en industriële en productieorganisaties.

Malware-upgrades zorgen voor een slimmere vijand

Witchetty blijft LookBack gebruiken, maar heeft Stegmap en andere malware aan zijn arsenaal toegevoegd. Om Stegmap in een netwerk te brengen, wordt een DLL-lader uitgevoerd die het bitmapbestand van het Windows-logo downloadt van een GitHub-repository. De payload is verborgen in het bitmapbestand en wordt gedecodeerd met een XOR-bewerking en sleutel.

De payload opent een achterdeur naar de buitenwereld en kan een reeks commando’s uitvoeren die door zijn masters zijn gegeven, van het kopiëren, verplaatsen of verwijderen van bestanden tot het verwijderen van een map, het starten van een nieuw proces of het beëindigen van een bestaand proces, en het maken of verwijderen van bestanden. het verwijderen van een Windows-registersleutel.

De Symantec-onderzoekers schreven dat Witchetty een spionagecampagne lanceerde tegen twee regeringen in het Midden-Oosten en een beurs in Afrika met behulp van Stegmap. De eerste toegang tot het netwerk van een doel wordt verkregen door misbruik te maken van de ProxyShell (CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207) en ProxyLogon (CVE-2021-26855 en CVE-2021-27065) kwetsbaarheden in Microsoft Wissel kwaadaardige scripts uit en installeer ze op openbare webservers. Vanaf dat moment waren de aanvallers in staat om inloggegevens van gebruikers te stelen, zich lateraal door het bedrijfsnetwerk te verplaatsen en Stegmap en andere software-onhandigheden op computers te installeren.

Witchetty maakt ook gebruik van Mimikatz, een poortscanner en andere tools. Dit omvat er een die zichzelf toevoegt aan autostart in het register en wordt vermeld als “Nvidia display core component”, om ervoor te zorgen dat de schadelijke code opnieuw wordt uitgevoerd bij een herstart.

“Witchetty heeft aangetoond dat het in staat is om zijn toolset voortdurend te verfijnen en te vernieuwen om interessante doelen in gevaar te brengen”, schreven de onderzoekers.

“Exploitatie van kwetsbaarheden op openbare servers biedt het een route naar organisaties, terwijl aangepaste tools gecombineerd met bedreven gebruik van ‘living-off-the-land’-tactieken het in staat stellen een langdurige, aanhoudende aanwezigheid in gerichte organisaties te behouden.” ®

Leave a Comment