A equipe de caçadores de ameaças da Symantec da Broadcom emitiu um aviso, revelando que um grupo chinês de ciberespionagem, também conhecido como Witchetty e LookingFrog, está mirando em entidades na África e no Oriente Médio usando um conjunto de ferramentas atualizado.
O grupo foi descoberto pela primeira vez em abril de 2022 pela ESET. Suas atividades são caracterizadas por usar um backdoor de primeiro estágio (X4) e uma carga útil de segundo estágio (LookBack).
Aviso Revela Táticas de Ataque de Witchetty
De acordo com o relatório da Symantec, a Witchetty está associada a um grupo chinês APT Cicada, também conhecido como Stone Panda, e APT10, enquanto sua conexão com o TA410 também está sendo relatada. Este grupo estava anteriormente vinculado a ataques direcionados contra empresas de energia dos EUA.
O grupo está continuamente desenvolvendo seu conjunto de ferramentas. Atualmente, ele usa uma técnica esteganográfica para ocultar um backdoor (Backdoor.Stegmap) no logotipo do MS Windows e visa governos no Oriente Médio.
Embora não seja nova, essa é uma técnica rara em que o malware está oculto dentro de uma imagem. O trojan pode executar várias funções, incluindo remover e criar diretórios, manipular arquivos, iniciar/terminar processos, executar/baixar executáveis, enumerar e matar processos e roubar documentos. Ele também pode criar, ler e excluir chaves de registro.
No início deste ano, o Cicada tinha como alvo entidades japonesas, mas agora parece ter expandido sua lista de alvos para diversas regiões, incluindo América do Norte, Ásia , e Europa.
Notícias relacionadas
Os invasores ocultam malware do Mac em imagens de anúncios Hacker encontrado usando memes do Twitter para espalhar malwareArquivos WAV infectados instalam malware e criptomineradores em PCsHackers chineses distribuindo malware na ferramenta SMS Bomber GoogleUserContent CDN hospedando imagens infectadas com malware Ataque Detalhes
A cadeia de infecção envolve o uso de um carregador de DLL para buscar o arquivo bitmap do GitHub, um logotipo do Microsoft Windows com código malicioso oculto. Essa técnica de ocultar a carga útil ajuda os invasores a hospedá-la em serviços confiáveis e gratuitos, como o GitHub.
Witchetty mirou os governos de dois países do Oriente Médio entre fevereiro e setembro de 2022, bem como o estoque de um país africano intercâmbio. O grupo explorou as vulnerabilidades ProxyShell e ProxyLogon, rastreadas como:
CVE-2021-31207
- CVE-2021-34473 CVE-2021-34523
CVE-2021-26855
- CVE-2021-27065
De acordo com o blog da Broadcom post, os invasores instalam web shells em servidores expostos publicamente antes de roubar credenciais e obter movimento lateral na rede.
Eles também instalaram malware em computadores na tentativa de roubar credenciais por meio de despejos de memória, implantação de web shells e backdoors, execução de comandos, implantação de backdoor e instalação de ferramentas personalizadas. Essa tática permite que ele se infiltre em redes organizacionais e ferramentas personalizadas com outras táticas de vida fora da terra, permitindo que ele mantenha uma persistência de longo prazo nas organizações-alvo.
“A Witchetty demonstrou a capacidade de refinar e atualizar continuamente seu conjunto de ferramentas para comprometer os alvos de interesse.”
Symantec Mais notícias de segurança do Windows
Fake Windows 11 Downloads Distributing Vidar Malware
QBot Malware Usando a Calculadora do Windows para Hackear DispositivosIscas de malware atualização falsa do Chrome para atacar PCs com Windows Kraken botnet ignora o Windows Defender, rouba dados de criptografia Malware em jogos piratas desativa o Windows Updates, Defender
Sou um jornalista de segurança cibernética baseado no Reino Unido com paixão por cobrir os últimos acontecimentos em segurança cibernética e mundo da tecnologia. Também gosto de jogos, leitura e jornalismo investigativo
