Nebezpečný malware, který na Vás číhá i v obyčejném logu Microsoft Windows. Je Váš počítač v ohrožení?
Backdoor.Stegmap je silný backdoor ukrytý v jednoduchém souboru s logem systému Microsoft Windows pomocí šifrování založeného na steganografii. Čínští kyberzločinci usilovně pracují s novými i starými technikami, aby trvale kompromitovali vysoce postavené vládní a diplomatické cíle.
Kampaně založené na malwaru se mění ve stále komplexnější hrozby schopné zasáhnout více zařízení a operačních systémů. Neustále přibývají nové techniky a „triky“, zatímco již známá řešení mají tendenci se čas od času znovu objevit. Steganografie, ačkoli nejde o žádnou novou ani oblíbenou techniku skrývání dat uvnitř obrázků, je skutečně využívána v nové špionážní kampani skupiny známé pod názvem Witchetty.
Jak uvádí tým Threat Hunter společnosti Symantec, charakteristickým znakem Backdoor.Stegmap je škodlivý kód ukrytý ve známém, i když starém logu operačního systému Microsoft Windows. Obrázek loga je umístěn na úložišti GitHub, což je bezplatná a důvěryhodná služba, u níž je mnohem méně pravděpodobné, že vyvolá varování ve srovnání s tradičními servery pro příkazy a řízení (C&C), které používají kyberzločinci.
Nenechte si ujít:
Když zavaděč DLL stáhne výše zmíněné logo do napadeného systému, payload ukrytý v souboru s obrázkem je dešifrován pomocí klíče XOR. V případě úspěšného spuštění může trojský kůň Backdoor.Stegmap otevřít plnohodnotná zadní vrátka schopná vytvářet soubory a adresáře, spouštět nebo ukončovat procesy, měnit registr systému Windows, stahovat nové spustitelné soubory a další.
Podle výzkumníků společnosti Symantec je kampaň založená na Backdoor.Stegmap, kterou provádí kyberšpionážní skupina Witchetty (známá také jako LookingFrog), aktivní od února 2022 a zaměřuje se na dvě blízkovýchodní vlády a burzu jedné africké země.
Útočníci využili již známé zranitelnosti (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065) k instalaci webových shellů na veřejně přístupné servery, aby mohli krást přihlašovací údaje, přecházet přes sítě a instalovat malware do jiných Microsoft Windows počítačů.
Witchetty se poprvé dostal do centra pozornosti v dubnu 2022, kdy ESET identifikoval tuto hrozbu jako jednu z podskupin TA410, kyberšpionážní operace napojené na státem sponzorovanou čínskou skupinu známou jako Cicada/APT10. Witchetty, vybavený bohatou sadou nástrojů s rostoucím počtem funkcí malwaru, je známý tím, že se zaměřuje na vlády, diplomatické mise, charitativní organizace a průmyslové organizace.
Steganografický trojský kůň Backdoor.Stegmap je skutečně nedávným přírůstkem do výše zmíněné sady nástrojů, zatímco mezi nové nástroje používané skupinou patří vlastní proxy nástroj, skener portů a „persistence utility“, která se přidává do sekce automatického spouštění registru skryté za přezdívkou „NVIDIA display core component“.
Společnost Symantec uvádí, že Witchetty prokázal schopnost „neustále zdokonalovat a obnovovat svůj soubor nástrojů za účelem kompromitace zájmových cílů“, aby si udržel dlouhodobou a trvalou přítomnost v postižených organizacích.
Autor: Lukáš Drahozal
Zdroj: theregister.com