Бесплатно Экспресс-аудит сайта:

01.10.2022

Хакеры спрятали вредоносное ПО в логотипе Windows

Исследователи безопасности Symantec обнаружили вредоносную кампанию группировки Witchetty, которая использует стеганографию для сокрытия бэкдора в логотипе Windows.

Symantec сообщает , что кампания кибершпионажа началась в феврале 2022 года и нацелена на правительства на Ближнем Востоке и фондовую биржу в Африке. В кампании Witchetty использует стеганографию, чтобы скрыть вредоносное ПО, зашифрованное с помощью XOR-шифрования, в старом растровом изображении логотипа Windows.


Логотип Windows, скрывающий полезную нагрузку

Файл размещается на доверенном облачном сервисе, а не на сервере управления и контроля (C&C) злоумышленника, поэтому средства защиты не обнаружат бэкдор при его извлечении. По словам экспертов, загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают подозрения инструментов защиты, чем загрузки с C&C сервера.

Атака начинается с того, что злоумышленники получают первоначальный доступ к сети, используя ошибки Microsoft Exchange ProxyShell и ProxyLogon для сброса веб-оболочек на уязвимые серверы. Затем киберпреступники извлекают бэкдор, скрывающийся в файле образа, что позволяет им делать следующее:

  • Взаимодействовать с файлами и каталогами;
  • Выполнять запуск, перечисление или уничтожение процессов;
  • Изменять реестр Windows;
  • Доставлять дополнительные полезные нагрузки;
  • Эксфильтровать файлы.

Witchetty также представила специальную прокси-утилиту, которая заставляет зараженный компьютер действовать «как сервер и подключаться к C&C серверу, действующему как клиент, а не наоборот». Другие инструменты группы включают настраиваемый сканер портов и утилиту сохраняемости, которая добавляет себя в реестр как «основной компонент дисплея NVIDIA ».

В обнаруженной кампании хакеры используют старые уязвимости, чтобы взломать целевую сеть, воспользовавшись плохим администрированием общедоступных серверов.

Считается, что Witchetty связана с поддерживаемой государством китайской группой APT10 (также известной как Cicada). Группа также считается частью TA410 , ранее связанной с атаками на энергетические компании США. TA410 и Witchetty остаются активной угрозой для правительств и государственных организаций во всем мире, в частности в Азии и Африке.