Zespół łowców zagrożeń w firmie Symantec firmy Broadcom opublikował ostrzeżenie, że wspierane przez Chiny grupy hakerów Witchetty i LookingFrog wykorzystują ulepszone zestawy narzędzi do atakowania podmiotów w Afryce i na Bliskim Wschodzie.

Firma ESET znalazła tę organizację po raz pierwszy w kwietniu 2022 roku. Jej operacje wyróżnia zastosowanie backdoora pierwszego stopnia (X4) i ładunku drugiego stopnia (LookBack).

Poparte przez Chiny taktyki ataków Witchetty ujawnione w Symantec Advisory

Według analiz firmy Symantec, Witchetty jest powiązany z chińską organizacją APT Cicada, znaną również jako Stone Panda, oraz APT10, a także TA410. Organizacja ta została już powiązana z ukierunkowanymi atakami na amerykańskie firmy energetyczne.

You Might Also Like
Zniknęły gry Snapchata: jak to naprawić?
Zniknęły gry Snapchata: jak to naprawić?
Speedtest wprowadza test szybkości wideo na Androida
Speedtest wprowadza test szybkości wideo na Androida
How to clear the browsing data of Safari?
Jak wyczyścić dane przeglądania Safari?

Zestaw narzędzi grupy jest stale rozwijany. Obecnie wykorzystuje technikę steganograficzną do ukrywania backdoora (Backdoor.Stegmap) pod logo Microsoft Windows i jest skierowany do krajów Bliskiego Wschodu.

  Wszystko ogłoszone na wydarzeniu Wonderlust: iPhone 15, Apple Watch i nie tylko
Symantec ujawnia wspieraną przez Chiny grupę hakerów Witchetty atakującą Afrykę i Bliski Wschód
Symantec ujawnia wspieraną przez Chiny grupę hakerów Witchetty atakującą Afrykę i Bliski Wschód

Chociaż nie jest to nowatorskie, jest to niezwykłe podejście, w którym wirus jest ukryty w obrazie. Wirus może między innymi usuwać i tworzyć foldery, manipulować plikami, uruchamiać/kończyć procesy, uruchamiać/pobierać pliki wykonywalne, wyliczać i zabijać procesy oraz kraść dane. Posiada również możliwość tworzenia, odczytywania i usuwania kluczy rejestru.

Cykada atakowała japońskie organizacje na początku tego roku, ale teraz wydaje się, że rozszerzyła swoją listę celów o Amerykę Północną, Azję i Europę.

„Program ładujący DLL pobiera plik mapy bitowej z repozytorium GitHub. Plik wydaje się być po prostu starym logo Microsoft Windows. Jednak ładunek jest ukryty w pliku i jest odszyfrowywany za pomocą klucza XOR.” czyta analiza opublikowane przez badaczy Symantec Threat Hunter z firmy Broadcom. „Ukrycie ładunku w ten sposób umożliwiło atakującym hostowanie go w bezpłatnej, zaufanej usłudze.

Witchetty wykazał zdolność do ciągłego ulepszania i odświeżania swojego zestawu narzędzi w celu skompromitowania interesujących celów. Wykorzystywanie luk w zabezpieczeniach na serwerach publicznych zapewnia mu drogę do organizacji, podczas gdy niestandardowe narzędzia w połączeniu z umiejętnym wykorzystaniem taktyk życia poza terenem pozwalają mu utrzymać długoterminową, stałą obecność w docelowych organizacjach”.

-Symantec

Specyfika ataku

Łańcuch infekcji obejmuje użycie programu ładującego DLL w celu pobrania pliku mapy bitowej GitHub, który jest logo Microsoft Windows z osadzonym złośliwym kodem. Ta metoda ukrywania ładunku umożliwia atakującym hostowanie go w wiarygodnych, bezpłatnych usługach, takich jak GitHub.

  Xiaomi wprowadziło na rynek Black Shark 4 Pro na całym świecie

Od lutego do września 2022 r. Witchetty zaatakował administracje dwóch krajów Bliskiego Wschodu, a także giełdę jednego z krajów afrykańskich. Grupa wykorzystała luki ProxyShell i ProxyLogon, które zostały zidentyfikowane jako CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 i CVE-2021-27065.

Symantec ujawnia wspieraną przez Chiny grupę hakerów Witchetty atakującą Afrykę i Bliski Wschód
Symantec ujawnia wspieraną przez Chiny grupę hakerów Witchetty atakującą Afrykę i Bliski Wschód

Według firmy Broadcom post na bloguosoby atakujące instalują powłoki internetowe na publicznie dostępnych komputerach przed uzyskaniem poświadczeń i uzyskaniem bocznego ruchu sieciowego.

Umieścili również złośliwe oprogramowanie na komputerach, próbując ukraść hasła za pomocą zrzutów pamięci, wdrażania powłok internetowych i tylnych drzwi, wykonywania poleceń, wdrażania tylnych drzwi oraz instalacji szytych na miarę narzędzi. Ta strategia pozwala mu infiltrować sieci organizacyjne, a połączenie dostosowanych narzędzi z innymi strategiami życia poza terenem pozwala mu utrzymać długoterminową trwałość w docelowych organizacjach.

„Firma Witchetty wykazała się zdolnością do ciągłego ulepszania i odświeżania swojego zestawu narzędzi w celu narażania na szwank celów będących przedmiotem zainteresowania” — mówi Symantec.

Jeśli podobała Ci się ta treść, koniecznie zapoznaj się z naszymi hakerami Edgy Hacks Fast Company, Zoom Mac Vulnerability i Microsoft Word umożliwiającymi backdoor dla artykułów hakerskich.

  Wstęp do Secret Invasion AI: Marvel jest krytykowany przez artystów i fanów

Co to jest Symantec?

Amerykańska korporacja programistyczna NortonLifeLock Inc., dawniej Symantec Corporation, ma swoją siedzibę w Tempe w Arizonie. Firma oferuje usługi i oprogramowanie dla cyberbezpieczeństwa. Firma NortonLifeLock z listy Fortune 500 jest częścią indeksu giełdowego S&P 500.

 

Source: Symantec ujawnia wspieraną przez Chiny grupę hakerów Witchetty atakującą Afrykę i Bliski Wschód: jak?