كشف هجوم على حكومة في الشرق الأوسط عن تطفل على الإنترنت يخفي برامج تجسس في شعار Windows القديم.
استخدمت عصابة Witchetty أسلوب إخفاء المعلومات لإخفاء برامج Windows الخبيثة (تسمى Backdoor.Stegmap) في الصور النقطية.
قال باحثون من فريق Threat Hunters في Symantec هذا الأسبوع ، “على الرغم من أنه نادرًا ما يستخدمه المهاجمون ، فإن إخفاء المعلومات ، عندما يتم تنفيذه جيدًا ، يمكن أن يخفي رمزًا ضارًا كملف صورة غير ضار على ما يبدو”. “من خلال إخفاء الحمولة بهذه الطريقة ، تمكن المهاجمون من استضافة الحمولة على خدمة مجانية وموثوق بها.”
قد يختلف مسؤول النظام الخاص بك ، لكنه يبدو غير ضار … الصور المستخدمة للحمولات.المصدر: Symantec
وبقدر ما نعلم ، فإن Wichetti أولاً يعرض الشبكة للخطر ويتسلل إلى نظام واحد أو أكثر. ثم قم بتنزيل هذه الصورة ، على سبيل المثال من مستودع على GitHub ، قم بفك ضغط برنامج التجسس الموجود فيه وتشغيله.
يعد إخفاء الحمولة بهذه الطريقة ووضع الملف في موقع جيد عبر الإنترنت ميزة كبيرة في التهرب من برامج الأمان. قال الفريق.
لذا فإن الحصول على هذه الصورة بعد الوصول لأول مرة من غير المرجح أن يؤدي إلى إطلاق إنذار داخلي.
في أبريل ، قام المحللون في متجر الأمن السيبراني الأوروبي ESET بتوثيق Witchetty (التي كانت تسمى آنذاك LookingFrog) كواحدة من ثلاث مجموعات فرعية داخل TA410. الوكالات الدبلوماسية في الشرق الأوسط وأفريقيا.
أطلقت APT10 ، المعروفة أيضًا باسم Red Apollo و Stone Panda ، حملة في وقت سابق من هذا العام ضد شركة خدمات مالية في تايوان. تمثل شركة LookingFrog و FlowingFrog و JollyFrog ثلاث مجموعات فرعية من TA410 ، وفقًا لـ ESET ، حيث تركز شركة LookingFrog جهودها على جزء صغير من الشرق الأوسط وأفريقيا.
كتب الباحثون في Symantec أن استخدام Stegmap هو جزء من تحديث أكبر لمجموعة أدوات Witchetty. من المعروف أن المجموعة تستخدم بابًا خلفيًا للمرحلة الأولى يُعرف باسم X4 وحمولة للمرحلة الثانية تسمى LookBack ، ووفقًا لـ ESET والحكومات والبعثات الدبلوماسية والجمعيات الخيرية والصناعة والتصنيع التي تستهدف المنظمة.
أصبحت ترقيات البرامج الضارة خصمًا أكثر تعقيدًا
تواصل Witchetty استخدام LookBack ، لكنها أضافت Stegmap والبرامج الضارة الأخرى إلى ترسانتها. لتقديم Stegmap إلى الشبكة ، يتم تشغيل أداة تحميل DLL لتنزيل ملف صورة نقطية لشعار Windows من مستودع GitHub. الحمولة مخفية في ملف نقطي وفك تشفيرها باستخدام عملية XOR ومفتاح.
تفتح الحمولة بابًا خلفيًا للعالم الخارجي ، والعديد من الإجراءات الصادرة عن السيد ، من نسخ الملفات أو نقلها أو حذفها ، إلى حذف الدلائل ، وبدء عمليات جديدة ، أو قتل العمليات الحالية ، وإنشاء أو حذف أوامر يمكن تشغيلها. احذف مفتاح تسجيل Windows.
كتب باحثو سيمانتك أن ويتشيتي استخدم Stegmap لإطلاق عمليات تجسس ضد حكومتين في الشرق الأوسط وبورصة أفريقية. استغلال الثغرات الأمنية ProxyShell من Microsoft (CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207) و ProxyLogon (CVE-2021-26855 و CVE-2021-27065) للوصول إلى شبكة الهدف. يستبدل البرامج النصية الضارة وتثبيتها على خوادم الويب العامة. منذ ذلك الحين ، تمكن المهاجمون من سرقة بيانات اعتماد تسجيل الدخول من المستخدمين ، والتحرك بشكل جانبي عبر شبكات الشركة ، وتثبيت Stegmap والبرامج السيئة الأخرى على أجهزة الكمبيوتر.
يستخدم Witchetty أيضًا Mimikatz ، ماسح المنافذ ، وأدوات أخرى. يتضمن ذلك إضافة نفسه إلى التسجيل التلقائي المُدرج باسم “Nvidia Display Core Component” للسماح بتشغيل التعليمات البرمجية الضارة مرة أخرى عند إعادة التشغيل.
كتب الباحثون: “أظهر Witchetty القدرة على صقل وتحديث مجموعة أدواته باستمرار لكسر الأهداف المستهدفة”.
“يوفر استغلال الثغرات الأمنية في الخوادم العامة نقطة دخول إلى المؤسسة ، في حين أن مجموعة ذكية من الأدوات المخصصة وتكتيكات العيش بعيدًا عن الأرض يمكن أن تخلق تهديدات طويلة الأجل ومستمرة للمؤسسات المستهدفة. يمكننا الحفاظ على وجودنا.” ®