01.10.2022 | Хакеры спрятали вредоносное ПО в логотипе Windows |
Исследователи безопасности Symantec обнаружили вредоносную кампанию группировки Witchetty, которая использует стеганографию для сокрытия бэкдора в логотипе Windows. Symantec сообщает , что кампания кибершпионажа началась в феврале 2022 года и нацелена на правительства на Ближнем Востоке и фондовую биржу в Африке. В кампании Witchetty использует стеганографию, чтобы скрыть вредоносное ПО, зашифрованное с помощью XOR-шифрования, в старом растровом изображении логотипа Windows. Логотип Windows, скрывающий полезную нагрузку Файл размещается на доверенном облачном сервисе, а не на сервере управления и контроля (C&C) злоумышленника, поэтому средства защиты не обнаружат бэкдор при его извлечении. По словам экспертов, загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают подозрения инструментов защиты, чем загрузки с C&C сервера. Атака начинается с того, что злоумышленники получают первоначальный доступ к сети, используя ошибки Microsoft Exchange ProxyShell и ProxyLogon для сброса веб-оболочек на уязвимые серверы. Затем киберпреступники извлекают бэкдор, скрывающийся в файле образа, что позволяет им делать следующее:
Witchetty также представила специальную прокси-утилиту, которая заставляет зараженный компьютер действовать «как сервер и подключаться к C&C серверу, действующему как клиент, а не наоборот». Другие инструменты группы включают настраиваемый сканер портов и утилиту сохраняемости, которая добавляет себя в реестр как «основной компонент дисплея NVIDIA ». В обнаруженной кампании хакеры используют старые уязвимости, чтобы взломать целевую сеть, воспользовавшись плохим администрированием общедоступных серверов. Считается, что Witchetty связана с поддерживаемой государством китайской группой APT10 (также известной как Cicada). Группа также считается частью TA410 , ранее связанной с атаками на энергетические компании США. TA410 и Witchetty остаются активной угрозой для правительств и государственных организаций во всем мире, в частности в Азии и Африке. |
Проверить безопасность сайта