Un acteur menaçant axé sur l’espionnage a été observé en train d’utiliser une astuce stéganographique pour dissimuler une porte dérobée auparavant non documentée dans un logo Windows lors de ses attaques contre les gouvernements du Moyen-Orient.
L’équipe Symantec Threat Hunter de Broadcom a attribué l’outil mis à jour à un groupe de piratage qu’il suit sous le nom Sorcièreégalement connu sous le nom de LookingFrog, un sous-groupe opérant sous l’égide de TA410.
Les intrusions impliquant TA410 – qui est censé partager des connexions avec un groupe de menaces chinois connu sous le nom d’APT10 (alias Cicada, Stone Panda ou TA429) – comportent principalement un implant modulaire appelé LookBack.
La dernière analyse de Symantec des attaques entre février et septembre 2022, au cours desquelles le groupe a ciblé les gouvernements de deux pays du Moyen-Orient et la bourse d’un pays africain, met en évidence l’utilisation d’une nouvelle porte dérobée appelée Stegmap.
Le nouveau malware exploite la stéganographie – une technique utilisée pour intégrer un message (dans ce cas, un malware) dans un document non secret – pour extraire un code malveillant d’une image bitmap d’un ancien logo Microsoft Windows hébergé sur un référentiel GitHub.
« Déguiser la charge utile de cette manière a permis aux attaquants de l’héberger sur un service gratuit et de confiance », ont déclaré les chercheurs. a dit. « Les téléchargements à partir d’hôtes de confiance tels que GitHub sont beaucoup moins susceptibles de déclencher des drapeaux rouges que les téléchargements à partir d’un serveur de commande et de contrôle (C&C) contrôlé par un attaquant. »
Stegmap, comme toute autre porte dérobée, possède un large éventail de fonctionnalités qui lui permettent d’effectuer des opérations de manipulation de fichiers, de télécharger et d’exécuter des exécutables, de terminer des processus et d’apporter des modifications au registre Windows.
Les attaques qui conduisent au déploiement de Stegmap militarisent les vulnérabilités ProxyLogon et ProxyShell dans Exchange Server pour supprimer le shell Web China Chopper, qui est ensuite utilisé pour effectuer des activités de vol d’informations d’identification et de mouvement latéral, avant de lancer le malware LookBack.
Une chronologie d’une intrusion dans une agence gouvernementale au Moyen-Orient révèle que Witchetty a maintenu l’accès à distance pendant six mois et mis en place un large éventail d’efforts de post-exploitation, y compris l’énumération du réseau et l’installation de logiciels malveillants personnalisés, jusqu’au 1er septembre 2022.
« Witchetty a démontré sa capacité à affiner et à rafraîchir continuellement son ensemble d’outils afin de compromettre les cibles d’intérêt », ont déclaré les chercheurs.
« L’exploitation des vulnérabilités sur les serveurs publics lui fournit une voie vers les organisations, tandis que des outils personnalisés associés à une utilisation habile des tactiques de vie hors de la terre lui permettent de maintenir une présence persistante à long terme dans les organisations ciblées. »