Backdoor.Stegmap:一種隱藏在微軟Windows標志中的惡意軟件


基於惡意軟件的活動正在變成越來越復雜的威脅,能夠針對多種設備和操作系統。新的技術和"技巧"不斷被添加,而已經知道的解決方案往往時不時地重新出現。隱寫術,雖然既不是一種新技術,也不是一種在圖像中隱藏數據的流行技術,但確實被一個名為Witchetty的組織用於新的間諜軟件活動中。

2022-09-30-image-15-j.webp

據賽門鐵克的威脅獵人小組報告,Backdoor.Stegmap的標志性特征是惡意代碼隱藏在一個人們非常熟悉的、舊的微軟Windows操作系統的標志中。該標志圖像被托管在GitHub倉庫。

當DLL加載器在被攻擊的系統上下載上述標志時,隱藏在圖像文件中的有效載荷被XOR密鑰解密。如果成功執行,Backdoor.Stegmap木馬可以打開一個功能齊全的後門,能夠創建文件和目錄,啟動或殺死進程,修改Windows註冊表,下載新的可執行文件等。

據賽門鐵克研究人員稱,由Witchetty網絡間諜組織(又稱LookingFrog)進行的基於Backdoor.Stegmap的活動自2022年2月以來一直很活躍,目標是兩個中東政府和一個非洲國傢的證券交易所。

攻擊者利用已經知道的漏洞(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065)在面向公眾的服務器上安裝WebShell,竊取憑證,跨網絡傳播並在其他計算機上安裝惡意軟件。

Witchetty在2022年4月首次受到關註,當時ESET發現該威脅是TA410的子集團之一,TA410是一個網絡間諜行動,與被稱為Cicada/APT10的國傢支持的集團有關。Witchetty配備豐富的工具集,具有不斷增長的惡意軟件功能,以主要針對政府、外交使團、慈善機構和行業組織而聞名。

Backdoor.Stegmap隱寫木馬是上述工具集的最新成員,而該組織采用的新工具包括一個自定義代理工具、一個端口掃描器和一個"持久性工具",該工具也會喬裝打扮,它將自己添加到註冊表的自動啟動部分,隱藏在"NVIDIA顯示核心組件"名稱的後面。

賽門鐵克表示,Witchetty已經顯示出有能力"不斷完善和刷新其工具集,以破壞感興趣的目標",從而在受影響的組織中保持長期、持久的存在。

解更多:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage


相關推薦

2022-11-16

一份新的全球威脅報告為微軟描繪一幅糟糕的畫面,因為Windows繼續擁有最多的惡意軟件感染,而macOS的惡意軟件最少。ElasticSecurityLabs周二發佈一份網絡安全報告,研究流行的操作系統和它們收到的威脅,該公司還包括對企業客

2022-10-17

援引ArsTechnica報道,微軟近三年來始終無法正確保護WindowsPC免受惡意驅動程序的侵害。盡管微軟表示其WindowsUpdate根據設備的不同將新的惡意驅動程序添加到已下載的阻止列表中,但這些列表並未奏效。由於設備方面的差距讓用戶

2022-09-01

行的跡象,它也不會啟動挖掘程序——這是對惡意軟件的一種預防措施。在所有這些步驟之後,惡意軟件開始使用受害者的計算機來挖掘加密貨幣。

2022-09-01

碼庫可以部署在不同的目標平臺上,例如 Linux、macOS 和 Windows(通過 Cyware)。在 Golang 被濫用於惡意目標的最新示例中,不良行為者正在提供幾乎無法檢測到的惡意軟件有效負載,並涉及著名的宇宙 Webb 圖像以隱藏惡意腳本。為

2022-07-03

微軟365防禦團隊表示,有一種越來越流行的惡意軟件可以在受害者不知情的情況下為其訂閱高級服務。不過,這種攻擊相當精細,惡意軟件必須執行相當多的步驟。窩藏惡意軟件的應用程序通常被歸類為"收費欺詐&am

2022-07-03

於一種高風險蠕蟲的私人建議,這種蠕蟲正在感染數百個Windows企業網絡。被稱為"樹莓知更鳥"(Raspberry Robin)的惡意軟件是通過含有一個經過特殊處理後的.lnk快捷方式文件的受感染USB設備傳播的。一旦用戶點擊這個文件,

2023-01-20

最大,從2021年的340萬下降到110萬,降幅達到68%。不過,Windows依舊是惡客最為關註的系統,在所有惡意軟件中的占比超過 95%。但即便如此,在2022年,針對Windows的惡意軟件在2022年也從1.1695億下降到7070萬,同比下降40%。

2022-10-06

移動安全公司Zimperium發現一種名為"RatMilad"的新Android惡意軟件,目標是中東地區的移動設備。據該公司稱,該惡意軟件被用於網絡間諜活動、敲詐勒索或竊聽受害者的談話。該惡意軟件隱藏在一個名為"NumRe

2022-07-19

的DirectLogic 06 PLC密碼。從用戶的角度來看,他們隻需要從Windows機器連接到PLC,然後指定COM端口進行通信,並點擊"READPASS"按鈕。一兩秒鐘後,密碼就會顯示在用戶面前。以前針對DirectLogic PLC的研究已經產生成功的破解技術

2023-02-23

力:大小隻有80KB使用合法的第三方DLL用C語言編寫,濫用Windows API函數自動竊取並發回數據針對22個瀏覽器、75個插件和25個桌面錢包設計除在暗網論壇上做廣告外,"普利茅斯"還通過創建關於如何破解軟件的虛假YouTube教程

2023-02-06

gle之後也回應此事,表示不法分子經常采用復雜的措施來隱藏身份,並逃避Google的政策監管,為解決這個問題,Google過去幾年已經推出新的驗證政策,提高檢測和預防詐騙的能力。Google表示他們已經知道當前的情況,並正在努力

2022-07-22

Word文檔作為惡意附件。微軟的宏阻止功能將很快開始在Windows上的Access、Excel、PowerPoint、Visio和Word中推廣,這一變化不會影響Mac版Office、Android或iOS設備。本周早些時候,微軟開始向Windows 11推出另一個安全更新,將保護用戶免受

2023-02-08

們是破壞性的WhisperGate惡意軟件網絡攻擊的幕後黑手,以一種新的信息竊取惡意軟件為手段攻擊烏克蘭實體。賽門鐵克的威脅獵手團隊將這一活動歸因於一個與俄羅斯有關的網絡威脅行為者,它之前被稱為TA471(或UAC-0056),自202

2024-02-08

亞馬遜上買到的 AceMagic AD08 迷你電腦,發現其中含有被 Windows Defender 標記為惡意軟件的文件,不僅如此,AceMagic 銷售的其他型號(包括 AD15 和 S1)也含有類似的惡意軟件,可能會危及用戶的隱私和安全。據這位 YouTuber 稱,當內