0
0
Um grupo emergente de ameaças de espionagem cibernética tem atingido alvos no Oriente Médio e na África com um novo backdoor apelidado de “Stegmap”, que usa a técnica de esteganografia raramente vista para ocultar códigos maliciosos em uma imagem hospedada.
Ataques recentes mostram o grupo – chamado Witchetty, também conhecido como LookingFrog – fortalecendo seu conjunto de ferramentas, adicionando táticas de evasão sofisticadas e explorando vulnerabilidades conhecidas do Microsoft Exchange ProxyShell e ProxyLogon . Pesquisadores do Symantec Threat Hunter observaram o grupo instalando webshells em servidores voltados para o público, roubando credenciais e depois se espalhando lateralmente pelas redes para propagar malware, revelaram em um post publicado em 29 de setembro.
Nos ataques entre fevereiro e setembro, Witchetty atacou os governos de dois países do Oriente Médio e a bolsa de valores de uma nação africana em ataques que usaram o vetor mencionado, disseram eles.
O ProxyShell é composto por três falhas conhecidas e corrigidas — CVE-2021-34473 , CVE-2021-34523 e CVE-2021-31207 — enquanto o ProxyLogon é composto por duas, CVE-2021-26855 e CVE-2021-27065 . Ambos foram amplamente explorados por agentes de ameaças desde que foram revelados pela primeira vez em agosto de 2021 e dezembro de 2020, respectivamente – ataques que persistem porque muitos Exchange Servers permanecem sem correção.
A atividade recente de Witchetty também mostra que o grupo adicionou um novo backdoor ao seu arsenal, chamado Stegmap, que emprega esteganografia – uma técnica furtiva que esconde a carga útil em uma imagem para evitar a detecção.
Como funciona o Stegmap Backdoor
Em seus ataques recentes, a Witchetty continuou a usar suas ferramentas existentes, mas também adicionou o Stegmap para aprimorar seu arsenal, disseram os pesquisadores. O backdoor usa esteganografia para extrair sua carga útil de uma imagem de bitmap, aproveitando a técnica “para disfarçar código malicioso em arquivos de imagem aparentemente inócuos”, disseram eles.
A ferramenta usa um carregador de DLL para baixar um arquivo de bitmap que parece ser um logotipo antigo do Microsoft Windows de um repositório do GitHub. “No entanto, a carga útil está escondida dentro do arquivo e é descriptografada com uma chave XOR”, disseram os pesquisadores em seu post.
Ao disfarçar a carga útil dessa maneira, os invasores podem hospedá-la em um serviço gratuito e confiável que é muito menos provável de levantar uma bandeira vermelha do que um servidor de comando e controle (C2) controlado pelo invasor, observaram.
O backdoor, uma vez baixado, passa a fazer coisas típicas de backdoor, como remover diretórios; copiar, mover e excluir arquivos; iniciar novos processos ou eliminar os existentes; ler, criar ou excluir chaves do Registro ou definir valores de chave; e roubar arquivos locais.
Além do Stegmap , a Witchetty também adicionou três outras ferramentas personalizadas – um utilitário de proxy para conectar-se ao comando e controle (C2), um scanner de porta e um utilitário de persistência – ao seu quiver, disseram os pesquisadores.
Grupo de ameaças em evolução
Witchetty chamou a atenção dos pesquisadores da ESET em abril. Eles identificaram o grupo como um dos três subgrupos do TA410, uma ampla operação de espionagem cibernética com alguns links para o grupo Cicada (também conhecido como APT10) que normalmente tem como alvo utilitários baseados nos EUA, bem como organizações diplomáticas no Oriente Médio e África, os pesquisadores disse. Os outros subgrupos do TA410, rastreados pela ESET, são FlowingFrog e JollyFrog.
Na atividade inicial, Witchetty usou dois malwares – um backdoor de primeiro estágio conhecido como X4 e um payload de segundo estágio conhecido como LookBack – para atingir governos, missões diplomáticas, instituições de caridade e organizações industriais/manufaturadas.
No geral, os ataques recentes mostram o grupo emergindo como uma ameaça formidável e inteligente que combina o conhecimento dos pontos fracos da empresa com o desenvolvimento de sua própria ferramenta personalizada para eliminar “alvos de interesse”, observaram os pesquisadores da Symantec.
“A exploração de vulnerabilidades em servidores voltados para o público fornece uma rota para as organizações, enquanto ferramentas personalizadas combinadas com o uso hábil de táticas de vida fora da terra permitem manter uma presença persistente e de longo prazo na organização-alvo”, eles escreveu no post.
Detalhes específicos do ataque contra agência governamental
Detalhes específicos de um ataque a uma agência governamental no Oriente Médio revelam que Witchetty manteve a persistência ao longo de sete meses e entrou e saiu do ambiente da vítima para realizar atividades maliciosas à vontade.
O ataque começou em 27 de fevereiro, quando o grupo explorou a vulnerabilidade do ProxyShell para despejar a memória do processo Local Security Authority Subsystem Service (LSASS) – que no Windows é responsável por impor a política de segurança no sistema – e continuou a partir daí. .
Ao longo dos seis meses seguintes, o grupo continuou a despejar processos; movido lateralmente através da rede; explorou ProxyShell e ProxyLogon para instalar webshells; instalou o backdoor LookBack; executou um script do PowerShell que poderia gerar as últimas contas de logon em um servidor específico; e tentou executar código malicioso de servidores C2.
A última atividade do ataque que os pesquisadores observaram ocorreu em 1º de setembro, quando Witchetty baixou arquivos remotos; descompactou um arquivo zip com uma ferramenta de implantação; e executou scripts remotos do PowerShell, bem como sua ferramenta de proxy personalizada para entrar em contato com seus servidores C2, disseram eles.
FONTE: DARK READING