Группа охотников за угрозами Symantec, принадлежащая Broadcom, опубликовала предупреждение, показывающее, что хакерские группы Witchetty и LookingFrog, поддерживаемые Китаем, используют расширенные наборы инструментов для нападения на организации в Африке и на Ближнем Востоке.
ESET впервые обнаружила эту организацию в апреле 2022 года. Ее операции отличаются использованием бэкдора первого уровня (X4) и полезной нагрузки второго уровня (LookBack).
В Symantec Advisory раскрыта тактика атаки на Witchetty, поддерживаемая Китаем
Согласно анализу Symantec, Witchetty связана с китайской организацией APT Cicada, также известной как Stone Panda, и APT10, а также TA410. Эта организация уже была связана с целенаправленными атаками на энергетические компании США.
Инструментарий группы постоянно развивается. В настоящее время он использует стеганографическую технику для сокрытия бэкдора (Backdoor.Stegmap) под логотипом Microsoft Windows и нацелен на страны Ближнего Востока.
Хотя это и не новинка, это необычный подход, при котором вирус скрывается внутри изображения. Вирус может удалять и создавать папки, манипулировать файлами, запускать/завершать процессы, запускать/загружать исполняемые файлы, перечислять и убивать процессы, красть данные и многое другое. Он также имеет возможность создавать, читать и удалять ключи реестра.
Ранее в этом году Cicada нацеливалась на японские организации, но теперь, похоже, она расширила свой список целей, включив в него Северную Америку, Азию и Европу.
«Загрузчик DLL загружает растровый файл из репозитория GitHub. Файл выглядит просто как старый логотип Microsoft Windows. Однако полезная нагрузка скрыта в файле и расшифровывается с помощью ключа XOR». читает анализ опубликовано исследователями Symantec Threat Hunter компании Broadcom. «Маскировка полезной нагрузки таким образом позволила злоумышленникам разместить ее на бесплатном доверенном сервисе.
Witchetty продемонстрировала способность постоянно совершенствовать и обновлять свой набор инструментов, чтобы компрометировать интересующие объекты. Эксплуатация уязвимостей на общедоступных серверах обеспечивает ему путь в организации, а специальные инструменты в сочетании с искусным использованием тактики «живения за пределами земли» позволяют ему поддерживать долгосрочное и постоянное присутствие в целевых организациях».
-Symantec
Особенности атаки
Цепочка заражения включает использование загрузчика DLL для получения растрового файла GitHub, который представляет собой логотип Microsoft Windows со встроенным вредоносным кодом. Этот метод сокрытия полезной нагрузки позволяет злоумышленникам размещать ее в надежных бесплатных сервисах, таких как GitHub.
В период с февраля по сентябрь 2022 года Уитчетти атаковал администрации двух ближневосточных стран, а также фондовую биржу африканской страны. Группа воспользовалась уязвимостями ProxyShell и ProxyLogon, которые были идентифицированы как CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 и CVE-2021-27065.
По данным компании Broadcom Сообщение блогазлоумышленники устанавливают веб-оболочки на общедоступные компьютеры, прежде чем получить учетные данные и добиться бокового перемещения по сети.
Они также размещали вредоносные программы на компьютерах, пытаясь украсть пароли с помощью дампов памяти, развертывания веб-оболочек и бэкдоров, выполнения команд, развертывания бэкдоров и установки специальных инструментов. Эта стратегия позволяет ему проникать в организационные сети, а сочетание специализированных инструментов с другими стратегиями жизни за пределами земли позволяет ему поддерживать долгосрочное присутствие в целевых организациях.
«Witchetty продемонстрировала способность постоянно совершенствовать и обновлять свой набор инструментов, чтобы компрометировать интересующие объекты, — говорит Symantec.
Если вам понравился этот контент, обязательно ознакомьтесь с нашими статьями Edgy hacker hacks Fast Company, Zoom Mac Vulnerability и Microsoft Word, позволяющими использовать бэкдор для хакеров.
Что такое Симантек?
Американская корпорация программного обеспечения NortonLifeLock Inc., ранее называвшаяся Symantec Corporation, имеет штаб-квартиру в Темпе, штат Аризона. Бизнес предлагает услуги и программное обеспечение для кибербезопасности. Компания NortonLifeLock, входящая в список Fortune 500, является компонентом фондового индекса S&P 500.
