基于恶意软件的活动正在变成越来越复杂的威胁,能够针对多种设备和操作系统。新的技术和"技巧"不断被添加,而已经知道的解决方案往往时不时地重新出现。隐写术,虽然既不是一种新技术,也不是一种在图像中隐藏数据的流行技术,但确实被一个名为Witchetty的组织用于新的间谍软件活动中。
据赛门铁克的威胁猎人小组报告,Backdoor.Stegmap的标志性特征是恶意代码隐藏在一个人们非常熟悉的、旧的微软Windows操作系统的标志中。该标志图像被托管在GitHub仓库。
当DLL加载器在被攻击的系统上下载上述标志时,隐藏在图像文件中的有效载荷被XOR密钥解密。如果成功执行,Backdoor.Stegmap木马可以打开一个功能齐全的后门,能够创建文件和目录,启动或杀死进程,修改Windows注册表,下载新的可执行文件等。
据赛门铁克研究人员称,由Witchetty网络间谍组织(又称LookingFrog)进行的基于Backdoor.Stegmap的活动自2022年2月以来一直很活跃,目标是两个中东政府和一个非洲国家的证券交易所。
攻击者利用已经知道的漏洞(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065)在面向公众的服务器上安装WebShell,窃取凭证,跨网络传播并在其他计算机上安装恶意软件。
Witchetty在2022年4月首次受到关注,当时ESET发现该威胁是TA410的子集团之一,TA410是一个网络间谍行动,与被称为Cicada/APT10的国家支持的集团有关。Witchetty配备了丰富的 工具 集,具有不断增长的恶意软件功能,以主要针对政府、外交使团、慈善机构和行业组织而闻名。
Backdoor.Stegmap隐写木马是上述工具集的最新成员,而该组织采用的新工具包括一个自定义代理工具、一个端口扫描器和一个"持久性工具",该工具也会乔装打扮,它将自己添加到注册表的自动启动部分,隐藏在"NVIDIA显示核心组件"名称的后面。
赛门铁克表示,Witchetty已经显示出有能力"不断完善和刷新其工具集,以破坏感兴趣的目标",从而在受影响的组织中保持长期、持久的存在。
了解更多:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage