基於惡意軟件的活動正在變成越來越復雜的威脅,能夠針對多種設備和操作系統。新的技術和"技巧"不斷被添加,而已經知道的解決方案往往時不時地重新出現。隱寫術,雖然既不是一種新技術,也不是一種在圖像中隱藏數據的流行技術,但確實被一個名為Witchetty的組織用於新的間諜軟件活動中。
據賽門鐵克的威脅獵人小組報告,Backdoor.Stegmap的標志性特征是惡意代碼隱藏在一個人們非常熟悉的、舊的微軟Windows操作系統的標志中。該標志圖像被托管在GitHub倉庫。
當DLL加載器在被攻擊的系統上下載上述標志時,隱藏在圖像文件中的有效載荷被XOR密鑰解密。如果成功執行,Backdoor.Stegmap木馬可以打開一個功能齊全的後門,能夠創建文件和目錄,啟動或殺死進程,修改Windows註冊表,下載新的可執行文件等。
據賽門鐵克研究人員稱,由Witchetty網絡間諜組織(又稱LookingFrog)進行的基於Backdoor.Stegmap的活動自2022年2月以來一直很活躍,目標是兩個中東政府和一個非洲國傢的證券交易所。
攻擊者利用已經知道的漏洞(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065)在面向公眾的服務器上安裝WebShell,竊取憑證,跨網絡傳播並在其他計算機上安裝惡意軟件。
Witchetty在2022年4月首次受到關註,當時ESET發現該威脅是TA410的子集團之一,TA410是一個網絡間諜行動,與被稱為Cicada/APT10的國傢支持的集團有關。Witchetty配備豐富的工具集,具有不斷增長的惡意軟件功能,以主要針對政府、外交使團、慈善機構和行業組織而聞名。
Backdoor.Stegmap隱寫木馬是上述工具集的最新成員,而該組織采用的新工具包括一個自定義代理工具、一個端口掃描器和一個"持久性工具",該工具也會喬裝打扮,它將自己添加到註冊表的自動啟動部分,隱藏在"NVIDIA顯示核心組件"名稱的後面。
賽門鐵克表示,Witchetty已經顯示出有能力"不斷完善和刷新其工具集,以破壞感興趣的目標",從而在受影響的組織中保持長期、持久的存在。
解更多:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage