Nebezpečný malware, který na Vás číhá i v obyčejném logu Microsoft Windows. Je Váš počítač v ohrožení?

Microsoft
Autor fotografie: Michael Treu / Zdroj fotografie: Pixabay

Backdoor.Stegmap je silný backdoor ukrytý v jednoduchém souboru s logem systému Microsoft Windows pomocí šifrování založeného na steganografii. Čínští kyberzločinci usilovně pracují s novými i starými technikami, aby trvale kompromitovali vysoce postavené vládní a diplomatické cíle.

Kampaně založené na malwaru se mění ve stále komplexnější hrozby schopné zasáhnout více zařízení a operačních systémů. Neustále přibývají nové techniky a „triky“, zatímco již známá řešení mají tendenci se čas od času znovu objevit. Steganografie, ačkoli nejde o žádnou novou ani oblíbenou techniku skrývání dat uvnitř obrázků, je skutečně využívána v nové špionážní kampani skupiny známé pod názvem Witchetty.

Jak uvádí tým Threat Hunter společnosti Symantec, charakteristickým znakem Backdoor.Stegmap je škodlivý kód ukrytý ve známém, i když starém logu operačního systému Microsoft Windows. Obrázek loga je umístěn na úložišti GitHub, což je bezplatná a důvěryhodná služba, u níž je mnohem méně pravděpodobné, že vyvolá varování ve srovnání s tradičními servery pro příkazy a řízení (C&C), které používají kyberzločinci.


Nenechte si ujít:


Když zavaděč DLL stáhne výše zmíněné logo do napadeného systému, payload ukrytý v souboru s obrázkem je dešifrován pomocí klíče XOR. V případě úspěšného spuštění může trojský kůň Backdoor.Stegmap otevřít plnohodnotná zadní vrátka schopná vytvářet soubory a adresáře, spouštět nebo ukončovat procesy, měnit registr systému Windows, stahovat nové spustitelné soubory a další.

Podle výzkumníků společnosti Symantec je kampaň založená na Backdoor.Stegmap, kterou provádí kyberšpionážní skupina Witchetty (známá také jako LookingFrog), aktivní od února 2022 a zaměřuje se na dvě blízkovýchodní vlády a burzu jedné africké země.

Útočníci využili již známé zranitelnosti (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065) k instalaci webových shellů na veřejně přístupné servery, aby mohli krást přihlašovací údaje, přecházet přes sítě a instalovat malware do jiných Microsoft Windows počítačů.

Witchetty se poprvé dostal do centra pozornosti v dubnu 2022, kdy ESET identifikoval tuto hrozbu jako jednu z podskupin TA410, kyberšpionážní operace napojené na státem sponzorovanou čínskou skupinu známou jako Cicada/APT10. Witchetty, vybavený bohatou sadou nástrojů s rostoucím počtem funkcí malwaru, je známý tím, že se zaměřuje na vlády, diplomatické mise, charitativní organizace a průmyslové organizace.

Steganografický trojský kůň Backdoor.Stegmap je skutečně nedávným přírůstkem do výše zmíněné sady nástrojů, zatímco mezi nové nástroje používané skupinou patří vlastní proxy nástroj, skener portů a „persistence utility“, která se přidává do sekce automatického spouštění registru skryté za přezdívkou „NVIDIA display core component“.

Společnost Symantec uvádí, že Witchetty prokázal schopnost „neustále zdokonalovat a obnovovat svůj soubor nástrojů za účelem kompromitace zájmových cílů“, aby si udržel dlouhodobou a trvalou přítomnost v postižených organizacích.

Autor: Lukáš Drahozal

Zdroj: theregister.com

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna.