Ciberespiões da Internet foram pegos escondendo spyware em um antigo logotipo do Windows em um ataque a governos no Oriente Médio.
A gangue Witchetty usou esteganografia para esconder malware do Windows de backdoor – apelidado de Backdoor.Stegmap – na imagem bitmap.
“Embora raramente usada por invasores, se executada com sucesso, a esteganografia pode ser aproveitada para disfarçar códigos maliciosos em arquivos de imagem aparentemente inócuos”, escreveram nesta semana pesquisadores da equipe de caçadores de ameaças da Symantec . “Disfarçar a carga útil dessa maneira permitiu que os invasores a hospedassem em um serviço gratuito e confiável”.
Pelo que podemos dizer, o Witchetty primeiro compromete uma rede, entrando em um ou mais sistemas, depois baixa essa imagem de, digamos, um repositório no GitHub, descompacta o spyware dentro dele e o executa.
Ocultar a carga útil dessa maneira e colocar o arquivo em algum lugar on-line inócuo é uma grande vantagem em evitar software de segurança, pois “downloads de hosts confiáveis, como o GitHub, são muito menos propensos a levantar bandeiras vermelhas do que downloads de um comando controlado por invasores. e-controle (C&C)”, disse a equipe.
Assim, buscar esta foto depois de obter acesso inicial é menos provável de disparar alarmes internos.
Em abril, analistas da loja europeia de segurança cibernética ESET documentaram Witchetty – que eles chamavam de LookingFrog na época – como um dos três subgrupos do TA410, um grupo de espionagem com laços frouxos com a gangue APT10 (também conhecida como Cicada), conhecida por atacar empresas no setor de serviços públicos dos EUA. e organizações diplomáticas no Oriente Médio e na África.
APT10, também conhecido como Red Apollo e Stone Panda, no início deste ano realizou uma campanha contra empresas de serviços financeiros em Taiwan. LookingFrog, FlowingFrog e JollyFrog são os três subgrupos do TA410, com a LookingFrog concentrando seus esforços no Oriente Médio e uma pequena parte da África, de acordo com a ESET.
O uso do Stegmap é parte de uma atualização maior do conjunto de ferramentas da Witchetty, escreveram os pesquisadores da Symantec. O grupo é conhecido por usar um backdoor de primeiro estágio conhecido como X4 e uma carga útil de segundo estágio chamada LookBack, que a ESET disse ter como alvo governos, missões diplomáticas, instituições de caridade e organizações industriais e de manufatura.
Atualizações de malware tornam um inimigo mais astuto
Witchetty continua a usar o LookBack, mas adicionou Stegmap e outros malwares ao seu arsenal. Para trazer o Stegmap para uma rede, é executado um carregador de DLL que baixa o arquivo bitmap do logotipo do Windows de um repositório do GitHub. A carga útil está oculta no arquivo de bitmap e é descriptografada com uma operação e chave XOR.
A carga útil abre um backdoor para o mundo exterior e pode executar uma série de comandos emitidos a ela por seus mestres, desde copiar, mover ou excluir arquivos até remover um diretório, iniciar um novo processo ou eliminar um existente e criar ou excluindo uma chave de registro do Windows.
Os pesquisadores da Symantec escreveram que Witchetty lançou uma campanha de espionagem contra dois governos do Oriente Médio e uma bolsa de valores na África usando Stegmap. O acesso inicial à rede de um destino é obtido explorando as vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) e ProxyLogon (CVE-2021-26855 e CVE-2021-27065) no Microsoft Exchange e scripts maliciosos instalados em servidores Web voltados para o público. A partir desse ponto, os invasores conseguiram roubar credenciais de login dos usuários, mover-se lateralmente pela rede corporativa e instalar o Stegmap e outros softwares maliciosos nos computadores.
Witchetty também faz uso do Mimikatz, um scanner de porta e outras ferramentas. Isso inclui um que se adiciona à inicialização automática no registro, sendo listado como “componente principal de exibição da Nvidia”, para garantir que o código malicioso seja executado novamente em uma reinicialização.
“Witchetty demonstrou a capacidade de refinar e atualizar continuamente seu conjunto de ferramentas para comprometer alvos de interesse”, escreveram os pesquisadores.
“A exploração de vulnerabilidades em servidores voltados para o público fornece uma rota para as organizações, enquanto ferramentas personalizadas combinadas com o uso hábil de táticas de vida fora da terra permitem manter uma presença persistente e de longo prazo nas organizações-alvo”.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
