Wygląda na to, że nawet kultowe logo Windows nie jest już bezpieczne przed złośliwym oprogramowaniem (otwiera się w nowej karcie), ponieważ niektórym cyberprzestępcom udało się ukryć w środku złośliwy kod.
Eksperci ds. cyberbezpieczeństwa z firmy Symantec twierdzą, że wykryli jedną z takich kampanii, wykorzystującą proces ukrywania złośliwego kodu na nieszkodliwych obrazach, znany również jako steganografia.
Zwykle ma to na celu uniknięcie wykrycia przez programy antywirusowe, ponieważ te rozwiązania rzadko wykrywają obrazy jako złośliwe.
szukam rządów
W tym konkretnym przypadku grupa zaangażowana w ataki steganograficzne nazywa się Witchetty, znany podmiot zajmujący się zagrożeniami, który uważa się za silnie powiązany z chińskim sponsorowanym przez państwo aktorem Cicada (AKA APT10), i jest również uważany za część organizacji TA410, która zaatakowała Stany Zjednoczone. dostawcy energii w dawnych czasach.
Grupa rozpoczęła swoją najnowszą kampanię w lutym 2022 roku, wymierzoną w co najmniej dwa rządy na Bliskim Wschodzie.
Nadal aktywny byłby również atak na giełdę w Afryce. Witchetty wykorzystał ataki steganograficzne, aby ukryć zaszyfrowane XOR tylne drzwi, które były hostowane w usłudze w chmurze, minimalizując szanse wykrycia. Aby umieścić powłoki webowe na podatnych punktach końcowych (otwiera się w nowej karcie), atakujący wykorzystali znane luki w Microsoft Exchange ProxyShell w celu uzyskania pierwszego dostępu: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE -2021-26855 i CVE-2021-27065.
„Ukrycie ładunku w ten sposób umożliwiło atakującym umieszczenie go w bezpłatnej i zaufanej usłudze” — powiedział Symantec. „Pobieranie z zaufanych hostów, takich jak GitHub, znacznie rzadziej wywołuje czerwone flagi niż pobieranie z kontrolowanego przez atakującego serwera dowodzenia i kontroli (C&C)”.
Zaszyfrowany backdoor XOR umożliwia cyberprzestępcom wykonywanie wielu czynności, w tym manipulowanie plikami i folderami, uruchamianie i zatrzymywanie procesów, modyfikowanie rejestru systemu Windows, pobieranie złośliwego oprogramowania za dodatkową opłatą, kradzież dokumentów i przekształcanie zatwierdzonego terminala na C2. serwer. .
Ostatni raz słyszeliśmy o Cykadzie w kwietniu 2022 roku, kiedy badacze poinformowali, że grupa nadużyła popularnego odtwarzacza multimedialnego VLC do rozpowszechniania złośliwego oprogramowania i szpiegowania agencji rządowych i sąsiednich organizacji zlokalizowanych w stanach, Kanadzie, Hongkongu, Turcji, Izraelu. , Indie, Czarnogóra i Włochy.
Przez: BleepingComputer (Otwiera się w nowej karcie)