Bisbilhoteiros da Internet foram pegos escondendo spyware em um antigo logotipo do Windows em um ataque a governos no Oriente Médio. – na imagem bitmap.
“Embora raramente usada por invasores, se executada com sucesso, a esteganografia pode ser aproveitada para disfarçar códigos maliciosos em arquivos de imagem aparentemente inócuos”, escreveram pesquisadores da equipe de caçadores de ameaças da Symantec essa semana. “Disfarçar a carga útil dessa maneira permitiu que os invasores a hospedassem em um serviço gratuito e confiável.”
Parece inofensivo, embora sysadmins possam discordar… A foto usada para o payload. Fonte: Symantec
Pelo que podemos dizer, Witchetty primeiro compromete uma rede, entrando em um ou mais sistemas, depois baixa esta imagem de, digamos, um repositório em GitHub, descompacta o spyware dentro dele e o executa.
Ocultar a carga útil dessa maneira e colocar o arquivo em algum lugar on-line inócuo é uma grande vantagem em evitar software de segurança, como “downloads de sites confiáveis hosts como o GitHub são muito menos propensos a levantar bandeiras vermelhas do que downloads de um servidor de comando e controle (C&C) controlado por invasores”, disse a equipe. é menos provável que o acesso inicial acione alarmes internos.
Em abril, analistas da loja europeia de segurança cibernética ESET documentaram Witchetty – que eles chamavam de LookingFrog na época – como um dos três subgrupos dentro do TA410, um grupo de espionagem com laços frouxos com a gangue APT10 (também conhecida como Cicada), conhecida por atacar empresas do setor de serviços públicos dos EUA e organizações diplomáticas no Oriente Médio e África.
APT10, também conhecido como Red Apollo e Stone Panda, no início deste ano realizou uma campanha contra empresas de serviços financeiros em Taiwan. LookingFrog, FlowingFrog e JollyFrog são os três subgrupos do TA410, com LookingFrog concentrando seus esforços no Oriente Médio e uma pequena parte da África, de acordo com a ESET.
O uso do Stegmap faz parte de um maior atualização do conjunto de ferramentas da Witchetty, escreveram os pesquisadores da Symantec. O grupo é conhecido por usar um backdoor de primeiro estágio conhecido como X4 e uma carga útil de segundo estágio chamada LookBack, que a ESET disse ter como alvo governos, missões diplomáticas, instituições de caridade e organizações industriais e de manufatura.
As atualizações de malware tornam o inimigo mais astuto
Witchetty continua a usar o LookBack, mas adicionou Stegmap e outros malwares ao seu arsenal. Para trazer o Stegmap para uma rede, é executado um carregador de DLL que baixa o arquivo bitmap do logotipo do Windows de um repositório do GitHub. A carga útil está oculta no arquivo bitmap e é descriptografada com uma operação e chave XOR.
A carga útil abre um backdoor para o mundo exterior e pode executar uma série de comandos emitidos a ela por seus mestres, desde copiar, mover ou excluir arquivos até remover um diretório, iniciar um novo processo ou eliminar um existente e criar ou excluir uma chave de registro do Windows.
- Hacked Fast Company envia alertas ‘obscenos e racistas’ via Apple News
Noberus ransomware obtém atualizações que roubam informações, tem como alvo o software de backup da Veeam Dados significativos de clientes expostos em ataque a uma empresa de telecomunicações australiana Confira este spyware do Android, diz a Microsoft, o lar de um zilhão de falhas do Windows
Os pesquisadores da Symantec escreveram que Witchetty lançou uma campanha de espionagem contra dois governos do Oriente Médio e uma bolsa de valores na África usando Stegmap. O acesso inicial à rede de um destino é obtido explorando as vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) e ProxyLogon (CVE-2021-26855 e CVE-2021-27065) no Microsoft Exchange e scripts maliciosos instalados em servidores Web voltados para o público. A partir desse ponto, os invasores conseguiram roubar credenciais de login dos usuários, mover-se lateralmente pela rede corporativa e instalar o Stegmap e outros softwares desagradáveis nos computadores.
Witchetty também usa o Mimikatz, uma porta scanner e outras ferramentas. Isso inclui um que se adiciona ao autostart no registro, sendo listado como “Nvidia display core component”, para garantir que o código malicioso seja executado novamente em uma reinicialização.
“Witchetty demonstrou a capacidade de continuamente refinar e atualizar seu conjunto de ferramentas para comprometer alvos de interesse”, escreveram os pesquisadores.
“A exploração de vulnerabilidades em servidores voltados para o público fornece uma rota para as organizações, enquanto ferramentas personalizadas combinadas com o uso hábil de táticas de viver fora da terra permite que ele mantenha uma presença persistente e de longo prazo nas organizações-alvo.”
