[ad_1]
大图: Backdoor.Stegmap 是一个强大的后门,通过基于隐写术的加密隐藏在一个简单的 Windows 徽标图像文件中。 中国网络犯罪分子正在努力使用新旧技术来永久破坏高层政府和外交目标。
基于恶意软件的活动正在变成越来越复杂的威胁,能够针对多个设备和操作系统。 新技术和“技巧”不断被添加,而已知的解决方案往往会时不时地重新出现。 隐写术虽然既不是一种新颖的技术,也不是一种将数据隐藏在图像中的流行技术,但确实被一个名为 Witchetty 的组织用于一项新的间谍活动。
正如赛门铁克的威胁猎手团队所报告的那样,Backdoor.Stegmap 的签名特征是隐藏在微软 Windows 操作系统熟悉但旧的徽标中的恶意代码。 徽标图像托管在 GitHub 存储库上,这是一项免费、受信任的服务,与网络犯罪分子使用的传统命令和控制 (C&C) 服务器相比,它引发危险信号的可能性要小得多。
当 DLL 加载程序在受感染的系统上下载上述徽标时,隐藏在图像文件中的有效负载将使用 XOR 密钥进行解密。 如果成功执行,Backdoor.Stegmap 木马可以打开一个功能齐全的后门,能够创建文件和目录、启动或终止进程、修改 Windows 注册表、下载新的可执行文件等等。
据赛门铁克研究人员称,由 Witchetty 网络间谍组织(也称为 LookFrog)发起的基于 Backdoor.Stegmap 的活动自 2022 年 2 月以来一直活跃,针对两个中东政府和一个非洲国家的证券交易所。
攻击者利用已知漏洞(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207、CVE-2021-26855、CVE-2021-27065)在面向公众的服务器上安装 Web Shell 以窃取凭据,跨网络移动并在其他计算机上安装恶意软件。
Witchetty 于 2022 年 4 月首次受到关注,当时 ESET 将威胁确定为 TA410 的子组之一,TA410 是与国家支持的中国组织 Cicada/APT10 相关的网络间谍活动。 Witchetty 配备了丰富的恶意软件功能工具集,以针对政府、外交使团、慈善机构和行业组织而闻名。
Backdoor.Stegmap 隐写木马确实是上述工具集的最新成员,而该组织使用的新工具包括自定义代理实用程序、端口扫描程序和“持久性实用程序”,该实用程序将自身添加到注册表的自动启动部分隐藏在“NVIDIA 显示核心组件”这个绰号后面。
赛门铁克表示,Witchetty 已经展示了“不断改进和更新其工具集以破坏感兴趣的目标”的能力,以便在受影响的组织中保持长期、持久的存在。
[ad_2]
Source link
