El grupo de espionaje comienza a usar una nueva puerta trasera que aprovecha la técnica de esteganografía rara vez vista.
El grupo de espionaje Witchetty (también conocido como LookingFrog) ha estado actualizando progresivamente su conjunto de herramientas, utilizando nuevo malware en ataques a objetivos en Medio Oriente y África. Entre las nuevas herramientas que utiliza el grupo se encuentra un troyano de puerta trasera (Backdoor.Stegmap) que emplea esteganografía, una técnica poco común en la que el código malicioso se oculta dentro de una imagen.
En ataques entre febrero y septiembre de 2022, Witchetty apuntó a los gobiernos de dos países del Medio Oriente y la bolsa de valores de una nación africana. Los atacantes explotaron las vulnerabilidades ProxyShell ( CVE-2021-34473 , CVE-2021-34523 y CVE-2021-31207 ) y ProxyLogon ( CVE-2021-26855 y CVE-2021-27065 ) para instalar shells web en servidores públicos. antes de robar credenciales, moverse lateralmente a través de redes e instalar malware en otras computadoras.
¿Quién es Witchetty?
Witchetty fue documentado por primera vez por ESET en abril de 2022, quien concluyó que era uno de los tres subgrupos de TA410, una amplia operación de ciberespionaje con algunos vínculos con el grupo Cicada (también conocido como APT10). La actividad de Witchetty se caracterizó por el uso de dos piezas de malware, una puerta trasera de primera etapa conocida como X4 y una carga útil de segunda etapa conocida como LookBack. ESET informó que el grupo se había dirigido a gobiernos, misiones diplomáticas, organizaciones benéficas y organizaciones industriales/fabricantes.
Nuevo utillaje
Si bien el grupo ha seguido utilizando la puerta trasera LookBack, parece que se han agregado varias piezas nuevas de malware a su conjunto de herramientas. Uno es Backdoor.Stegmap, que aprovecha la esteganografía para extraer su carga útil de una imagen de mapa de bits. Aunque los atacantes rara vez la usan, si se ejecuta con éxito, la esteganografía se puede aprovechar para disfrazar código malicioso en archivos de imágenes aparentemente inocuos.
Un cargador de DLL descarga un archivo de mapa de bits de un repositorio de GitHub. El archivo parece ser simplemente un antiguo logotipo de Microsoft Windows. Sin embargo, la carga útil está oculta dentro del archivo y se descifra con una clave XOR.
Ocultar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y de confianza. Es mucho menos probable que las descargas de hosts confiables como GitHub generen señales de alerta que las descargas de un servidor de comando y control (C&C) controlado por un atacante.
Fuente: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.