Một kẻ đe dọa tập trung vào hoạt động gián điệp đã được quan sát thấy đang sử dụng một thủ thuật mã hóa để che giấu một cửa hậu không có giấy tờ trước đó trong logo Windows trong các cuộc tấn công chống lại các chính phủ Trung Đông.
Nhóm thợ săn đe dọa Symantec của Broadcom quy công cụ cập nhật cho một nhóm hack mà nó theo dõi dưới tên Witchettycòn được gọi là LookingFrog, một nhóm con hoạt động dưới sự bảo trợ của TA410.
Các vụ xâm nhập liên quan đến TA410 – được cho là chia sẻ kết nối với một nhóm đe dọa Trung Quốc được gọi là APT10 (còn gọi là Cicada, Stone Panda hoặc TA429) – chủ yếu có mô-đun cấy ghép có tên LookBack.
Phân tích mới nhất của Symantec về các cuộc tấn công từ tháng 2 đến tháng 9 năm 2022, trong đó nhóm nhắm mục tiêu vào chính phủ của hai quốc gia Trung Đông và sàn giao dịch chứng khoán của một quốc gia châu Phi, cho thấy việc sử dụng một cửa hậu mới có tên là Stegmap.
Phần mềm độc hại mới này sử dụng kỹ thuật steganography – một kỹ thuật được sử dụng để nhúng thư (trong trường hợp này là phần mềm độc hại) vào một tài liệu không bí mật – để trích xuất mã độc hại từ hình ảnh bitmap của logo Microsoft Windows cũ được lưu trữ trên kho lưu trữ GitHub.
Các nhà nghiên cứu cho biết: “Việc ngụy trang trọng tải theo cách này cho phép những kẻ tấn công lưu trữ nó trên một dịch vụ miễn phí, đáng tin cậy. “Tải xuống từ các máy chủ đáng tin cậy như GitHub ít có khả năng tăng cờ đỏ hơn nhiều so với tải xuống từ máy chủ điều khiển và kiểm soát (C&C) do kẻ tấn công kiểm soát.”
Stegmap, giống như bất kỳ backdoor nào khác, có một loạt các tính năng cho phép nó thực hiện các hoạt động thao tác tệp, tải xuống và chạy các tệp thực thi, chấm dứt các quy trình và thực hiện các sửa đổi Windows Registry.
Các cuộc tấn công dẫn đến việc triển khai Stegmap vũ khí hóa các lỗ hổng ProxyLogon và ProxyShell trong Exchange Server để làm rơi trình bao web China Chopper, sau đó được sử dụng để thực hiện các hoạt động đánh cắp thông tin xác thực và di chuyển bên, trước khi khởi chạy phần mềm độc hại LookBack.
Dòng thời gian của một vụ đột nhập vào một cơ quan chính phủ ở Trung Đông cho thấy Witchetty duy trì quyền truy cập từ xa trong vòng sáu tháng và thực hiện một loạt các nỗ lực hậu khai thác cho đến ngày 1 tháng 9 năm 2022.
Các nhà nghiên cứu cho biết: “Witchetty đã chứng minh khả năng liên tục tinh chỉnh và làm mới bộ công cụ của mình để thỏa hiệp các mục tiêu quan tâm.
“Việc khai thác các lỗ hổng trên các máy chủ công khai cung cấp cho nó một lộ trình vào các tổ chức, trong khi các công cụ tùy chỉnh được kết hợp với việc sử dụng thành thạo các chiến thuật sống ngoài đất liền cho phép nó duy trì sự hiện diện lâu dài và bền bỉ trong các tổ chức được nhắm mục tiêu.”
.
