Görünüşe göre ikonik Windows logosu bile kötü amaçlı yazılımlardan korunmuyor (yeni sekmede açılır) artık, bazı siber suçlular kötü amaçlı kodu içinde başarılı bir şekilde gizlemeyi başardı.
Symantec’teki siber güvenlik uzmanları, steganografi olarak da bilinen, aksi takdirde zararsız görüntülerde kötü amaçlı kodu gizleme işlemini kullanarak böyle bir kampanyayı tespit ettiklerini iddia ediyor.
Genellikle virüsten koruma programlarının algılamasını önlemek için yapılır, çünkü bu tür çözümler nadiren görüntüleri kötü amaçlı olarak algılar.
Hükümetlerin peşinden gitmek
Bu özel durumda, steganografi saldırılarına karışan gruba, Çin devlet destekli aktör Cicada’ya (AKA APT10) güçlü bir şekilde bağlı olduğu iddia edilen bilinen bir tehdit aktörü olan Witchetty denir ve aynı zamanda ABD enerji sağlayıcılarını hedef alan TA410 örgütünün bir parçası olarak kabul edilir. geçmişte.
Grup, Ortadoğu’daki en az iki hükümeti hedef alan son kampanyasını Şubat 2022’de başlattı.
Dahası, Afrika’da bir borsaya yönelik saldırının hala aktif olduğu iddia ediliyor. Witchetty, bir bulut hizmetinde barındırılan XOR şifreli bir arka kapıyı gizlemek için steganografi saldırılarını kullandı ve tespit şansını en aza indirdi. Güvenlik açığı bulunan uç noktalara web kabukları bırakmak için (yeni sekmede açılır)saldırganlar ilk erişim için bilinen Microsoft Exchange ProxyShell güvenlik açıklarından yararlandı: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 ve CVE-2021-27065.
Symantec, “Yükün bu şekilde gizlenmesi, saldırganların ücretsiz, güvenilir bir hizmette barındırmasına izin verdi.” Dedi. “GitHub gibi güvenilir ana bilgisayarlardan yapılan indirmelerin, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C&C) sunucusundan yapılan indirmelere kıyasla kırmızı bayrak oluşturma olasılığı çok daha düşüktür.”
XOR ile şifrelenmiş arka kapı, tehdit aktörlerinin dosya ve klasörleri kurcalama, süreçleri çalıştırma ve sonlandırma, Windows Kayıt Defteri’nde ince ayar yapma, ek kötü amaçlı yazılım indirme, belgeleri çalma ve ayrıca güvenliği ihlal edilmiş uç noktayı bir C2 sunucusuna dönüştürme dahil olmak üzere birçok şeyi yapmasına olanak tanır. .
Cicada’yı en son Nisan 2022’de, araştırmacılar grubun popüler VLC medya oynatıcısını kötü amaçlı yazılım dağıtmak ve ABD, Kanada, Hong Kong, Türkiye, İsrail, Hindistan’da bulunan devlet kurumlarına ve komşu kuruluşlara casusluk yapmak için kötüye kullandığını bildirdiğinde duyduk. Karadağ ve İtalya.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
