针对中东政府的网络攻击在Windows徽标中隐藏恶意软件
据观察,一名以间谍活动为重点的威胁行为人在针对中东政府的攻击中,使用隐写术在Windows徽标中隐藏了一个以前未经记录的后门。
Broadcom的赛门铁克威胁猎人团队将更新的工具归因于一个黑客组织,该组织以其名义跟踪该组织维切蒂,也被称为LookingFrog,一个在TA410保护伞下运作的子组。
涉及TA410的入侵;该组织与中国威胁组织APT10(又名蝉、石熊猫或TA429)有联系;主要特点是一种叫做LookBack的模块化植入物。
赛门铁克对2022年2月至9月之间的袭击进行的最新分析,突显了另一个被称为Stegmap的后门的使用。在这次袭击中,该组织针对两个中东国家的政府和一个非洲国家的证券交易所。
新的恶意软件利用了隐写术–;用于在非机密文档中嵌入消息(在本例中为恶意软件)的技术–;从GitHub存储库上托管的旧Microsoft Windows徽标的位图图像中提取恶意代码。
研究人员表示:“以这种方式伪装有效载荷,使攻击者能够在一个免费、可信的服务上托管有效载荷”。“从GitHub等可信主机下载比从攻击者控制的命令和控制(C&;C)服务器下载更不可能引发危险”。
Stegmap与任何其他后门一样,具有一系列广泛的功能,可以执行文件操作、下载和运行可执行文件、终止进程以及修改Windows注册表。
导致部署Stegmap的攻击将Exchange Server中的ProxyLogon和ProxyShell漏洞武器化,以丢弃China Chopper web shell,然后在启动LookBack恶意软件之前,该web shell用于执行凭证窃取和横向移动活动。
一份入侵中东某政府机构的时间线显示,Witchetty在长达6个月的时间里保持远程访问,并进行了广泛的后开发工作,包括网络枚举和安装定制恶意软件,直到2022年9月1日。
研究人员表示:“Witchetty已经证明了不断改进和更新其工具集的能力,以达到对感兴趣目标的妥协”。
“利用面向公众的服务器上的漏洞为其提供了进入组织的途径,而定制工具与熟练使用靠山吃山战术相结合,使其能够在目标组织中保持长期、持久的存在”。
