Quelle: security.com (Englisch)
Sicherheitsforscher haben eine bösartige Kampagne der Hackergruppe "Witchetty" entdeckt, die Steganografie verwendet, um eine Backdoor-Malware in einem Windows-Logo zu verstecken.
Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 (auch bekannt als "Cicada") hat. Die Gruppe wird auch als Teil der TA410-Aktivisten angesehen, die früher mit Angriffen auf US-Energieversorger in Verbindung gebracht wurden.
Symantec berichtet, dass die Bedrohungsgruppe eine neue Cyberspionage-Kampagne betreibt, die im Februar 2022 gestartet wurde, zwei Regierungen im Nahen Osten und eine Börse in Afrika zum Ziel hatte und noch immer andauert.
Das Windows-Logo gegen Sie verwenden
In dieser Kampagne aktualisierten die Hacker ihr Toolkit, um verschiedene Schwachstellen anzugreifen, und nutzten Steganografie, um ihre bösartige Nutzlast vor Antivirensoftware zu verstecken.
Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, z. B. in einem Bild, um einer Entdeckung zu entgehen. So kann ein Hacker beispielsweise eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält, der aus ihr extrahiert werden kann.
In der von Symantec entdeckten Kampagne nutzt Witchetty Steganografie, um eine XOR-verschlüsselte Backdoor-Malware in einem alten Windows-Logo-Bitmap-Bild zu verstecken.
Die Datei wird auf einem vertrauenswürdigen Cloud-Dienst gehostet und nicht auf dem Command-and-Control-Server (C2) des Angreifers, so dass die Wahrscheinlichkeit, dass beim Abrufen der Datei ein Sicherheitsalarm ausgelöst wird, minimiert wird.
"Die Tarnung der Nutzlast auf diese Weise ermöglichte es den Angreifern, sie auf einem kostenlosen, vertrauenswürdigen Dienst zu hosten", erklärt Symantec in seinem Bericht.
"Downloads von vertrauenswürdigen Hosts wie GitHub sind weitaus weniger auffällig als Downloads von einem vom Angreifer kontrollierten Command-and-Control (C&C)-Server."
Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) und ProxyLogon (CVE-2021-26855 und CVE-2021-27065) ausnutzen, um Webshells auf anfälligen Servern abzulegen.
Als Nächstes holen sich die Bedrohungsakteure die in der Bilddatei versteckte Hintertür, die es ihnen ermöglicht, Folgendes zu tun:
- Ausführen von Datei- und Verzeichnisaktionen
- Starten, Aufzählen oder Beenden von Prozessen
- Ändern der Windows-Registrierung
- Herunterladen zusätzlicher Nutzdaten
- Dateien exfiltrieren
Witchetty stellte auch ein benutzerdefiniertes Proxy-Dienstprogramm vor, das den infizierten Computer dazu veranlasst, "als Server zu fungieren und sich mit einem C&C-Server zu verbinden, der als Client fungiert, anstatt umgekehrt".
Zu den weiteren Tools gehören ein benutzerdefinierter Port-Scanner und ein benutzerdefiniertes Persistenz-Dienstprogramm, das sich in der Registrierung als "NVIDIA Display Core Component" einträgt.
Neben den benutzerdefinierten Tools verwendet Witchetty auch Standarddienstprogramme wie Mimikatzand, um Anmeldeinformationen aus LSASS auszulesen, und missbraucht "Lolbins" auf dem Host, wie CMD, WMIC und PowerShell.
TA410 und Witchetty bleiben eine aktive Bedrohung für Regierungen und staatliche Organisationen in Asien, Afrika und auf der ganzen Welt. Die beste Möglichkeit, Angriffe zu verhindern, besteht darin, Sicherheitsupdates zu installieren, sobald sie veröffentlicht werden.
In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze.