O quadro geral: Backdoor.Stegmap é um potente backdoor oculto em um arquivo de imagem de logotipo simples do Windows por meio de criptografia baseada em esteganografia. Os cibercriminosos chineses estão trabalhando duro com técnicas novas e antigas para comprometer permanentemente o governo de alto nível e alvos diplomáticos.
Campanhas baseadas em malware estão se transformando em ameaças cada vez mais complexas, capazes de atingir vários dispositivos e sistemas operacionais. Novas técnicas e “truques” são adicionados constantemente, enquanto soluções já conhecidas tendem a ressurgir de vez em quando. A esteganografia, embora não seja um romance nem uma técnica popular para ocultar dados dentro de imagens, está de fato sendo usada em uma nova campanha de espionagem por um grupo conhecido como Witchetty. A característica do Backdoor.Stegmap, como relata o Threat Hunter Team da Symantec, é um código malicioso escondido em um logotipo familiar, embora antigo, do sistema operacional Windows da Microsoft. A imagem do logotipo está sendo hospedada em um repositório GitHub, um serviço gratuito e confiável que tem muito menos probabilidade de levantar uma bandeira vermelha em comparação com os servidores tradicionais de comando e controle (C&C) usados por criminosos cibernéticos.
Quando um carregador de DLL baixa o logotipo mencionado acima em um sistema comprometido, a carga oculta no arquivo de imagem é descriptografada com uma chave XOR. Se executado com sucesso, o trojan Backdoor.Stegmap pode abrir um backdoor completo capaz de criar arquivos e diretórios, iniciar ou matar processos, modificar o registro do Windows, baixar novos executáveis e muito mais.
De acordo com pesquisadores da Symantec, a campanha baseada em Backdoor.Stegmap realizada pelo grupo de espionagem cibernética Witchetty (também conhecido como LookingFrog) está ativo desde fevereiro de 2022, visando dois governos do Oriente Médio e a bolsa de valores de um país africano.
Os invasores exploraram vulnerabilidades já conhecidas (CVE-2021-34473, CVE- 2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065) para instalar web shells em servidores públicos para roubar credenciais, mover-se pelas redes e instalar malware em outros computadores.
Witchetty ficou sob os holofotes em abril de 2022, quando a ESET identificou a ameaça como um dos subgrupos do TA4 10, uma operação de ciberespionagem ligada ao grupo chinês patrocinado pelo Estado conhecido como Cicada/APT10. Equipado com um rico conjunto de ferramentas de crescentes recursos de malware, o Witchetty é conhecido por visar governos, missões diplomáticas, instituições de caridade e organizações do setor. além do conjunto de ferramentas mencionado acima, enquanto as novas ferramentas empregadas pelo grupo incluem um utilitário de proxy personalizado, um scanner de porta e um “utilitário de persistência” que se adiciona à seção de início automático do registro oculto atrás do apelido “NVIDIA display core component” .
A Symantec afirma que a Witchetty demonstrou a capacidade de “refinar e atualizar continuamente seu conjunto de ferramentas para comprometer alvos de interesse” para manter uma presença persistente e de longo prazo nas organizações afetadas.
