[ad_1]
似乎即使是标志性的 Windows 徽标也无法免受恶意软件的侵害 (在新标签中打开) 不再是,因为一些网络犯罪分子成功地将恶意代码隐藏在其中。
赛门铁克的网络安全专家声称发现了一个此类活动,该活动使用一种将恶意代码隐藏在其他无害图像中的过程,也称为隐写术。
通常这样做是为了避免被防病毒程序检测到,因为此类解决方案很少将图像检测为恶意图像。
追捕政府
在这种特殊情况下,从事隐写术攻击的组织称为 Witchetty,据称与中国政府支持的演员 Cicada (AKA APT10) 密切相关,并且还被认为是针对美国能源供应商的 TA410 组织的一部分。在过去。
该组织于 2022 年 2 月启动了最新的活动,目标是至少两个中东政府。
更重要的是,据称针对非洲证券交易所的袭击仍然活跃。 Witchetty 使用隐写术攻击来隐藏托管在云服务上的 XOR 加密后门,从而最大限度地减少其被检测到的机会。 在易受攻击的端点上放置 webshell (在新标签中打开),攻击者利用已知的 Microsoft Exchange ProxyShell 漏洞进行初始访问:CVE-2021-34473、CVE-2021-34523、CVE-2021-31207、CVE-2021-26855 和 CVE-2021-27065。
“以这种方式伪装有效载荷允许攻击者将其托管在免费、受信任的服务上,”赛门铁克说。 “与从攻击者控制的命令和控制 (C&C) 服务器下载相比,从 GitHub 等受信任主机下载引发危险信号的可能性要小得多。”
XOR 加密后门允许攻击者做很多事情,包括篡改文件和文件夹、运行和终止进程、调整 Windows 注册表、下载额外的恶意软件、窃取文档,以及将受感染的端点变成 C2 服务器.
我们上次听说 Cicada 是在 2022 年 4 月,当时研究人员报告称该组织滥用流行的 VLC 媒体播放器来分发恶意软件并监视位于美国、加拿大、香港、土耳其、以色列、印度的政府机构和邻近组织,黑山和意大利。
通过:BleepingComputer (在新标签中打开)
[ad_2]
Source link
