Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Хакеры спрятали вредоносное ПО в логотипе Windows (http://txgate.io:443/showthread.php?t=11460)

Artifact 03-25-2025 03:43 AM

Используя старые уязвимости, хакеры полагаются на плохое администрирование устройств.
Исследователи безопасности Symantec обнаружили вредоносную кампанию группировки Witchetty, которая использует стеганографию для сокрытия бэкдора в логотипе Windows.
Symantec сообщает , что кампания кибершпионажа началась в феврале 2022 года и нацелена на правительства на Ближнем Востоке и фондовую биржу в Африке. В кампании Witchetty использует стеганографию, чтобы скрыть вредоносное ПО, зашифрованное с помощью XOR-шифрования, в старом растровом изображении логотипа Windows.
https://www.securitylab.ru/upload/im...t-img(529).png
Логотип Windows, скрывающий полезную нагрузку
Файл размещается на доверенном облачном сервисе, а не на сервере управления и контроля (C&C) злоумышленника, поэтому средства защиты не обнаружат бэкдор при его извлечении. По словам экспертов, загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают подозрения инструментов защиты, чем загрузки с C&C сервера.
Атака начинается с того, что злоумышленники получают первоначальный доступ к сети, используя ошибки Microsoft Exchange ProxyShell и ProxyLogon для сброса веб-оболочек на уязвимые серверы. Затем киберпреступники извлекают бэкдор, скрывающийся в файле образа, что позволяет им делать следующее:<ul><li>Взаимодейст� �овать с файлами и каталогами;</li>
</ul><ul><li>Выполнять запуск, перечисление или уничтожение процессов;</li>
</ul><ul><li>Изменять реестр Windows;</li>
</ul><ul><li>Доставлять дополнительные полезные нагрузки;</li>
</ul><ul><li>Эксфильтровать файлы.</li>
</ul>Witchetty также представила специальную прокси-утилиту, которая заставляет зараженный компьютер действовать «как сервер и подключаться к C&amp;C серверу, действующему как клиент, а не наоборот». Другие инструменты группы включают настраиваемый сканер портов и утилиту сохраняемости, которая добавляет себя в реестр как «основной компонент дисплея NVIDIA ».
В обнаруженной кампании хакеры используют старые уязвимости, чтобы взломать целевую сеть, воспользовавшись плохим администрированием общедоступных серверов.
Считается, что Witchetty связана с поддерживаемой государством китайской группой APT10 (также известной как Cicada). Группа также считается частью TA410 , ранее связанной с атаками на энергетические компании США. TA410 и Witchetty остаются активной угрозой для правительств и государственных организаций во всем мире, в частности в Азии и Африке.


All times are GMT. The time now is 11:51 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.