Nhóm săn lùng mối đe dọa của Broadcom tại Symantec đã đưa ra cảnh báo cho thấy các nhóm hacker Witchetty và LookingFrog do Trung Quốc hậu thuẫn đang sử dụng các bộ công cụ tiên tiến để nhắm mục tiêu vào các tổ chức ở Châu Phi và Trung Đông.
ESET lần đầu tiên phát hiện ra tổ chức này vào tháng 4 năm 2022. Hoạt động của chúng được phân biệt bằng cách sử dụng cửa hậu giai đoạn một (X4) và tải trọng giai đoạn hai (LookBack).
Symantec tiết lộ nhóm hacker có tên Witchetty, được Trung Quốc hậu thuẫn
Theo phân tích của Symantec, Witchetty được liên kết với TA410, cũng như tổ chức APT Trung Quốc Cicada và APT10, còn được gọi là Stone Panda. Tổ chức này trước đây có liên quan đến các cuộc tấn công có chủ đích vào các công ty năng lượng của Mỹ.
Bộ công cụ của nhóm không ngừng phát triển. Hiện nay Microsoft Windows Nó sử dụng kỹ thuật steganographic để ẩn một cửa sau (Backdoor.Stegmap) dưới logo của nó và nhắm mục tiêu vào các quốc gia Trung Đông.
Một cách tiếp cận khác thường, trong đó virus ẩn trong một bức ảnh, mặc dù nó không được biết đến là mới. Virus có thể xóa và tạo thư mục, thao tác với tệp, bắt đầu và chấm dứt các tiến trình, chạy tệp hoặc ứng dụng cũng như đánh cắp dữ liệu từ máy tính của bạn.
Cicada đã nhắm mục tiêu vào các tổ chức Nhật Bản vào đầu năm nay, nhưng hiện tại dường như đã mở rộng danh sách mục tiêu của mình sang Bắc Mỹ, Châu Á và Châu Âu.
Tuyên bố của Symantec như sau:
“Trình cài đặt DLL đang tải xuống tệp bitmap từ kho lưu trữ GitHub. Tệp này chỉ là một tệp Microsoft cũ Windows Nó trông giống như một logo. Virus ẩn bên trong tệp và được giải mã bằng khóa XOR.” Được xuất bản bởi các nhà nghiên cứu Symantec Threat Hunter của Broadcom Phân tích đọc. “Việc che giấu vi-rút như vậy cho phép kẻ tấn công lưu trữ vi-rút trên một dịch vụ miễn phí và đáng tin cậy.
Witchetty thể hiện khả năng liên tục tinh chỉnh và đổi mới bộ công cụ của mình để gây nguy hiểm cho những mục tiêu mà cô quan tâm. “Việc khai thác các lỗ hổng trong máy chủ công cộng giúp chúng có cơ hội xâm nhập vào các tổ chức, trong khi việc sử dụng khéo léo các công cụ độc quyền và các chiến thuật khác cho phép chúng duy trì sự hiện diện lâu dài và lâu dài trong các tổ chức mục tiêu.”
-Symantec
Witchetty sử dụng những phương pháp nào?
Chuỗi lây nhiễm là một chương trình của Microsoft có mã độc được nhúng trong đó. Windows Nó liên quan đến việc sử dụng trình tải DLL để lấy tệp bitmap GitHub có logo. Phương pháp này, được sử dụng để che giấu vi-rút, cho phép kẻ tấn công trú ẩn trên các dịch vụ miễn phí và đáng tin cậy như GitHub.
Witchetty tấn công chính quyền hai quốc gia Trung Đông và thị trường chứng khoán của một quốc gia châu Phi trong khoảng thời gian từ tháng 2 đến tháng 9 năm 2022. Nhóm đã khai thác các lỗ hổng ProxyShell và ProxyLogon được xác định là CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 và CVE-2021-27065.
của Broadcom đến bài viết trên blog Theo đó, những kẻ tấn công cài đặt web shell trên các máy tính công cộng trước khi lấy được thông tin xác thực và thực hiện hành động mạng bên.
Sử dụng các tệp Witchetty, web shell, thực thi lệnh, triển khai cửa sau và các công cụ, nó tiêm phần mềm độc hại vào máy tính để đánh cắp mật khẩu. Chiến lược này cho phép nó xâm nhập vào mạng công ty và kết hợp các công cụ độc quyền với các chiến lược bền vững khác để duy trì sự bền vững lâu dài trong các tổ chức mục tiêu.
Symantec cho biết: “Witchetty không ngừng cải tiến và đổi mới bộ công cụ của mình để xâm phạm các tổ chức mà nó tấn công”.
Symantec là gì?
Công ty phần mềm NortonLifeLock Inc của Mỹ, trước đây gọi là Symantec Corporation, có trụ sở chính tại Tempe, Arizona. Công ty cung cấp các dịch vụ và phần mềm cho an ninh mạng. Công ty NortonLifeLock trong danh sách Fortune 500 có điểm khác biệt là là một thành phần của chỉ số thị trường chứng khoán S&P 500.