Хакеры спрятали вредоносное ПО в логотипе Windows

[Artifact]

Используя старые уязвимости, хакеры полагаются на плохое администрирование устройств.
Исследователи безопасности Symantec обнаружили вредоносную кампанию группировки Witchetty, которая использует стеганографию для сокрытия бэкдора в логотипе Windows.
Symantec сообщает , что кампания кибершпионажа началась в феврале 2022 года и нацелена на правительства на Ближнем Востоке и фондовую биржу в Африке. В кампании Witchetty использует стеганографию, чтобы скрыть вредоносное ПО, зашифрованное с помощью XOR-шифрования, в старом растровом изображении логотипа Windows.

Логотип Windows, скрывающий полезную нагрузку
Файл размещается на доверенном облачном сервисе, а не на сервере управления и контроля (C&C) злоумышленника, поэтому средства защиты не обнаружат бэкдор при его извлечении. По словам экспертов, загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают подозрения инструментов защиты, чем загрузки с C&C сервера.
Атака начинается с того, что злоумышленники получают первоначальный доступ к сети, используя ошибки Microsoft Exchange ProxyShell и ProxyLogon для сброса веб-оболочек на уязвимые серверы. Затем киберпреступники извлекают бэкдор, скрывающийся в файле образа, что позволяет им делать следующее:

• Взаимодействовать с файлами и каталогами;

• Выполнять запуск, перечисление или уничтожение процессов;

• Изменять реестр Windows;

• Доставлять дополнительные полезные нагрузки;

• Эксфильтровать файлы.

Witchetty также представила специальную прокси-утилиту, которая заставляет зараженный компьютер действовать «как сервер и подключаться к C&C серверу, действующему как клиент, а не наоборот». Другие инструменты группы включают настраиваемый сканер портов и утилиту сохраняемости, которая добавляет себя в реестр как «основной компонент дисплея NVIDIA ».
В обнаруженной кампании хакеры используют старые уязвимости, чтобы взломать целевую сеть, воспользовавшись плохим администрированием общедоступных серверов.
Считается, что Witchetty связана с поддерживаемой государством китайской группой APT10 (также известной как Cicada). Группа также считается частью TA410 , ранее связанной с атаками на энергетические компании США. TA410 и Witchetty остаются активной угрозой для правительств и государственных организаций во всем мире, в частности в Азии и Африке.