Güvenlik araştırmacıları, bir Windows logosunda bir arka kapı kötü amaçlı yazılımını gizlemek için steganografi kullanan ‘Witchetty’ bilgisayar korsanlığı grubu tarafından kötü amaçlı bir kampanya keşfettiler.
Witchetty’nin devlet destekli Çinli tehdit aktörüyle yakın bağları olduğuna inanılıyor APT10 (aka ‘Ağustosböceği’). Grup ayrıca, daha önce bağlantılı olduğu TA410 operatörlerinin bir parçası olarak kabul ediliyor. ABD enerji sağlayıcılarına yönelik saldırılar.
Symantec, tehdit grubunun Şubat 2022’de Orta Doğu’daki iki hükümeti ve Afrika’daki bir borsayı hedef alan yeni bir siber casusluk kampanyası yürüttüğünü ve halen devam ettiğini bildirdi.
Windows logosunu size karşı kullanmak
Bu kampanyada, bilgisayar korsanları farklı güvenlik açıklarını hedeflemek için araç setlerini yenilediler ve kötü amaçlı yüklerini virüsten koruma yazılımından gizlemek için steganografiyi kullandılar.
Steganografi, algılamadan kaçınmak için diğer gizli olmayan, genel bilgiler veya bir görüntü gibi bilgisayar dosyaları içindeki verileri gizleme eylemidir. Örneğin, bir bilgisayar korsanı, bilgisayarda doğru şekilde görüntülenen ancak aynı zamanda ondan çıkarılabilecek kötü amaçlı kod içeren çalışan bir görüntü dosyası oluşturabilir.
Symantec tarafından keşfedilen kampanyada Witchetty, eski bir Windows logosu bitmap görüntüsünde XOR ile şifrelenmiş bir arka kapı kötü amaçlı yazılımını gizlemek için steganografi kullanıyor.
Dosya, tehdit aktörünün komuta ve kontrol (C2) sunucusu yerine güvenilir bir bulut hizmetinde barındırılır, bu nedenle dosya alınırken güvenlik alarmları oluşturma olasılığı en aza indirilir.
Symantec, “Yükün bu şekilde gizlenmesi, saldırganların onu ücretsiz, güvenilir bir hizmette barındırmasına izin verdi,” diye açıklıyor. onun raporu.
“GitHub gibi güvenilir ana bilgisayarlardan yapılan indirmelerin, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C&C) sunucusundan yapılan indirmelere kıyasla kırmızı bayrak oluşturma olasılığı çok daha düşüktür.”
Saldırı, tehdit aktörlerinin ağdan yararlanarak bir ağa ilk erişim elde etmesiyle başlar. Microsoft Exchange ProxyShell’i (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) ve ProxyOturum açma (CVE-2021-26855 ve CVE-2021-27065), güvenlik açığı bulunan sunuculara web kabukları bırakmak için zincirlere saldırır.
Ardından, tehdit aktörleri, görüntü dosyasında saklanan arka kapıyı alır ve bu, aşağıdakileri yapmalarını sağlar:
- Dosya ve dizin işlemlerini gerçekleştirin
- İşlemleri başlatın, numaralandırın veya sonlandırın
- Windows Kayıt Defterini Değiştirin
- Ek yükleri indirin
- Dosyaları süzün
Witchetty ayrıca, virüslü bilgisayarın “sunucu gibi davranmasına ve istemci gibi davranan bir C&C sunucusuna bağlanmasına” neden olan özel bir proxy yardımcı programı da tanıttı.
Diğer araçlar, özel bir bağlantı noktası tarayıcısı ve kendisini kayıt defterine “NVIDIA ekran çekirdek bileşeni” olarak ekleyen özel bir kalıcılık yardımcı programını içerir.
Özel araçlarla birlikte Witchetty, LSASS’den kimlik bilgilerini boşaltmak için Mimikatzand gibi standart yardımcı programları kullanır ve ana bilgisayardaki CMD, WMIC ve PowerShell gibi “lolbinleri” kötüye kullanır.
TA410 ve Witchetty, Asya, Afrika ve dünyanın her yerindeki hükümetler ve devlet kurumları için aktif tehditler olmaya devam ediyor. Saldırılarını önlemenin en iyi yolu, güvenlik güncellemelerini yayınlandıkları anda uygulamaktır.
Symantec tarafından keşfedilen kampanyada, bilgisayar korsanları, hedef ağı ihlal etmek için geçen yılın güvenlik açıklarından yararlanmaya güveniyor ve herkese açık sunucuların zayıf yönetiminden yararlanıyor.