Похоже, что даже культовый логотип Windows не застрахован от вредоносного ПО. (откроется в новой вкладке) больше, так как некоторым киберпреступникам удалось успешно спрятать внутри него вредоносный код.
Эксперты по кибербезопасности Symantec утверждают, что обнаружили одну из таких кампаний, в которой использовался процесс сокрытия вредоносного кода в безвредных изображениях, также известный как стеганография.
Обычно это делается, чтобы избежать обнаружения антивирусными программами, поскольку такие решения редко определяют изображения как вредоносные.
Гоняться за правительствами
В данном конкретном случае группа, участвующая в стеганографических атаках, называется Witchetty, известный злоумышленник, предположительно тесно связанный с спонсируемым государством китайским актером Cicada (AKA APT10), а также считающийся частью организации TA410, которая нацелена на американских поставщиков энергии. в прошлом.
Группа начала свою последнюю кампанию в феврале 2022 года, нацеленную как минимум на два правительства на Ближнем Востоке.
Более того, атака на фондовую биржу в Африке якобы все еще активна. Witchetty использовала стеганографические атаки, чтобы скрыть бэкдор с шифрованием XOR, который был размещен в облачном сервисе, что свело к минимуму его шансы на обнаружение. Чтобы сбросить веб-шеллы на уязвимые конечные точки (откроется в новой вкладке)злоумышленники использовали известные уязвимости Microsoft Exchange ProxyShell для первоначального доступа: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 и CVE-2021-27065.
«Маскировка полезной нагрузки таким образом позволила злоумышленникам разместить ее на бесплатном доверенном сервисе», — заявили в Symantec. «Загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают тревогу, чем загрузки с сервера управления и контроля (C&C), контролируемого злоумышленником».
Бэкдор с шифрованием XOR позволяет злоумышленникам выполнять ряд действий, в том числе вмешиваться в файлы и папки, запускать и завершать процессы, вносить изменения в реестр Windows, загружать дополнительное вредоносное ПО, красть документы, а также превращать скомпрометированную конечную точку в сервер C2. .
В последний раз мы слышали о Cicada в апреле 2022 года, когда исследователи сообщили, что группа злоупотребляла популярным медиаплеером VLC для распространения вредоносных программ и шпионажа за государственными учреждениями и смежными организациями, расположенными в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногория и Италия.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
