Hackers están ocultando una puerta trasera en la imagen del logotipo de Windows
Investigadores de seguridad han descubierto una campaña maliciosa del grupo de hacking ‘Witchetty’. El grupo está utilizando esteganografía para ocultar un malware de puerta trasera en un logotipo de Windows.
Se cree que Witchetty tiene vínculos estrechos con el actor de amenazas chino respaldado por el estado APT10 (también conocido como ‘Cicada‘). El grupo también se considera parte de los operativos TA410, anteriormente vinculados a ataques contra proveedores de energía estadounidenses.
Anteriormente, la actividad de Witchetty se caracterizó por el uso de dos piezas de malware. Una puerta trasera de primera etapa conocida como X4 y un payload de segunda etapa conocida como LookBack. ESET informó que el grupo se había dirigido a gobiernos, misiones diplomáticas, organizaciones benéficas y organizaciones industriales/fabricantes.
Symantec informó que el grupo de amenazas está operando una nueva campaña de ciberespionaje lanzada en febrero de 2022. La campaña apuntó a dos gobiernos en el Medio Oriente y una bolsa de valores en África y aún está en curso.
Usando el logotipo de Windows en ataques
En esta campaña, los hackers actualizaron su kit de herramientas para atacar diferentes vulnerabilidades y usaron esteganografía para ocultar su payload malicioso del software antivirus.
Por si no lo sabes, la esteganografía es el acto de ocultar datos dentro de otra información pública no secreta o archivos informáticos, como una imagen, para evadir la detección. Por ejemplo, un hacker puede crear un archivo de imagen de trabajo que se muestre correctamente en la computadora pero que también incluya un código malicioso que se pueda extraer de él.
En la campaña descubierta por Symantec, Witchetty utiliza la esteganografía para ocultar un malware de puerta trasera cifrado con XOR en una imagen de mapa de bits del antiguo logotipo de Windows.
El archivo está alojado en un servicio en la nube confiable en lugar del servidor de comando y control (C2) del atacante. Por lo tanto, los atacantes minimizan las posibilidades de generar alarmas de seguridad mientras llevan a cabo la acción maliciosa.
“Ocultar el payload de esta manera permitió a los atacantes alojarlo en un servicio gratuito y confiable”.
“Es mucho menos probable que las descargas desde hosts confiables como GitHub generen señales de alerta que las descargas desde un servidor de comando y control controlado por un atacante”.
Symantec en su informe
Ataque
El ataque comienza cuando los ciberdelincuentes obtienen acceso inicial a una red al explotar la vulnerabilidad ProxyShell de Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE- 2021-27065). Estas cadenas de ataque les permiten colocar webshells en servidores vulnerables.
A continuación, los atacantes buscan la puerta trasera que se oculta en el archivo de imagen, lo que les permite hacer lo siguiente:
- Realizar acciones de archivos y directorios
- Iniciar, enumerar o eliminar procesos
- Modificar el Registro de Windows
- Descargar payloads adicionales
- Exfiltrar archivos
Witchetty también introdujo una utilidad de proxy personalizada que hace que la computadora infectada actúe “como el servidor y se conecta a un servidor C2 que actúa como cliente, en lugar de al revés”.
Otras herramientas incluyen un escáner de puertos personalizado. Asimismo, una utilidad de persistencia personalizada que se agrega en el registro como “componente central de visualización de NVIDIA”.
Junto con las herramientas personalizadas, Witchetty usa herramientas estándar como Mimikatz para recuperar las credenciales de LSASS. Además, abusa de los “lolbins” en el host, como CMD, WMIC y PowerShell.
TA410 y Witchetty siguen siendo amenazas activas para los gobiernos y las organizaciones estatales en Asia, África y en todo el mundo. La mejor manera de prevenir sus ataques es aplicar actualizaciones de seguridad a medida que se publican.
En la campaña descubierta por Symantec, los hackers se basan en la explotación de las vulnerabilidades del año pasado para vulnerar la red de destino. En otras palabras, aprovechan la mala administración de los servidores expuestos públicamente.
