Casusluk odaklı bir tehdit aktörünün, Orta Doğu hükümetlerine yönelik saldırılarında bir Windows logosunda önceden belgelenmemiş bir arka kapıyı gizlemek için steganografik bir hile kullandığı gözlemlendi.
Broadcom’un Symantec Tehdit Avcısı Ekibi, güncellenmiş araçları, adı altında izlediği bir bilgisayar korsanlığı grubuna bağladı. cadıTA410 çatısı altında faaliyet gösteren bir alt grup olan LookingFrog olarak da bilinir.
APT10 (aka Cicada, Stone Panda veya TA429) olarak bilinen bir Çinli tehdit grubuyla bağlantı paylaştığına inanılan TA410’u içeren izinsiz girişler, öncelikle LookBack adlı modüler bir implanta sahiptir.
Symantec’in, grubun iki Orta Doğu ülkesinin hükümetlerini ve bir Afrika ulusunun borsasını hedef aldığı Şubat ve Eylül 2022 arasındaki saldırılara ilişkin son analizi, Stegmap adlı yeni bir arka kapının kullanıldığını vurguluyor.
Yeni kötü amaçlı yazılım steganografi – gizli olmayan bir belgeye bir mesajı (bu durumda kötü amaçlı yazılım) gömmek için kullanılan bir teknik – GitHub deposunda barındırılan eski bir Microsoft Windows logosunun bitmap görüntüsünden kötü amaçlı kod çıkarmak için.
Araştırmacılar, “Yükü bu şekilde gizlemek, saldırganların onu ücretsiz, güvenilir bir hizmette barındırmasına izin verdi” söz konusu. “GitHub gibi güvenilir ana bilgisayarlardan yapılan indirmelerin, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C&C) sunucusundan yapılan indirmelere kıyasla kırmızı bayrak oluşturma olasılığı çok daha düşüktür.”
Stegmap, diğer herhangi bir arka kapı gibi, dosya işleme işlemlerini gerçekleştirmesine, yürütülebilir dosyaları indirmesine ve çalıştırmasına, işlemleri sonlandırmasına ve Windows Kayıt Defteri değişikliklerini yapmasına izin veren kapsamlı bir dizi özelliğe sahiptir.
Stegmap’in konuşlandırılmasına yol açan saldırılar, Exchange Server’daki ProxyLogon ve ProxyShell güvenlik açıklarını, daha sonra LookBack kötü amaçlı yazılımını başlatmadan önce kimlik bilgisi hırsızlığı ve yanal hareket faaliyetlerini gerçekleştirmek için kullanılan China Chopper web kabuğunu bırakmak için silahlandırır.
Orta Doğu’daki bir devlet kurumuna yapılan izinsiz girişin zaman çizelgesi, Witchetty’nin altı ay boyunca uzaktan erişimi sürdürdüğünü ve 1 Eylül 2022’ye kadar ağ numaralandırma ve özel kötü amaçlı yazılım yükleme dahil olmak üzere çok çeşitli sömürü sonrası çabalar başlattığını ortaya koyuyor.
Araştırmacılar, “Witchetty, ilgi hedeflerinden ödün vermek için araç setini sürekli olarak iyileştirme ve yenileme yeteneğini gösterdi” dedi.
“Halka açık sunuculardaki güvenlik açıklarının sömürülmesi, kuruluşlara giden bir yol sağlarken, arazi dışında yaşama taktiklerinin ustaca kullanımıyla eşleştirilmiş özel araçlar, hedeflenen kuruluşlarda uzun vadeli, kalıcı bir varlık sürdürmesini sağlar.”