Het Threat Hunter-team van Broadcom’s Symantec heeft een waarschuwing gepubliceerd die laat zien dat door China gesteunde Witchetty- en LookingFrog-hackergroepen verbeterde toolsets gebruiken om zich te richten op entiteiten in Afrika en het Midden-Oosten.
ESET vond de organisatie voor het eerst in april 2022. De activiteiten onderscheiden zich door het gebruik van een first-stage backdoor (X4) en een second-stage payload (LookBack).
Door China gesteunde Witchetty-aanvalstactieken onthuld in Symantec Advisory
Volgens de analyse van Symantec is Witchetty gelinkt aan de Chinese APT-organisatie Cicada, ook bekend als Stone Panda, en APT10, evenals TA410. Deze organisatie is al in verband gebracht met gerichte aanvallen op Amerikaanse energiebedrijven.
De toolkit van de groep ontwikkelt zich voortdurend. Het gebruikt momenteel een steganografische techniek om een achterdeur (Backdoor.Stegmap) te verbergen onder het Microsoft Windows-logo en richt zich op landen in het Midden-Oosten.
Hoewel niet nieuw, is dit een ongebruikelijke benadering waarbij een virus in een afbeelding wordt verborgen. Het virus kan onder andere mappen verwijderen en aanmaken, bestanden manipuleren, processen starten/beëindigen, uitvoerbare bestanden uitvoeren/downloaden, processen opsommen en doden en gegevens stelen. Het heeft ook de mogelijkheid om registersleutels te maken, te lezen en te verwijderen.
Cicada richtte zich eerder dit jaar op Japanse organisaties, maar lijkt nu zijn doellijst te hebben uitgebreid met Noord-Amerika, Azië en Europa.
“Een DLL-lader downloadt een bitmapbestand van een GitHub-repository. Het bestand lijkt gewoon een oud Microsoft Windows-logo te zijn. De payload is echter verborgen in het bestand en wordt gedecodeerd met een XOR-sleutel. leest de analyse gepubliceerd door Broadcom’s Symantec Threat Hunter-onderzoekers. “Door de payload op deze manier te verbergen, konden de aanvallers deze hosten op een gratis, vertrouwde service.
Witchetty heeft aangetoond dat het in staat is om zijn toolset voortdurend te verfijnen en te vernieuwen om interessante doelwitten in gevaar te brengen. Exploitatie van kwetsbaarheden op openbare servers biedt het een route naar organisaties, terwijl aangepaste tools in combinatie met bedreven gebruik van ‘living-off-the-land-tactieken’ het in staat stellen een langdurige, aanhoudende aanwezigheid in gerichte organisaties te behouden.”
-Symantec
Bijzonderheden van de aanval
De infectieketen omvat het gebruik van een DLL-lader om het GitHub-bitmapbestand op te halen, een Microsoft Windows-logo met daarin ingebedde kwaadaardige code. Deze methode om de payload te verbergen, stelt aanvallers in staat deze te hosten op betrouwbare, gratis services zoals GitHub.
Tussen februari en september 2022 viel Witchetty de administraties van twee landen in het Midden-Oosten aan, evenals de effectenbeurs van een Afrikaans land. De groep maakte gebruik van de ProxyShell- en ProxyLogon-kwetsbaarheden, die werden geïdentificeerd als CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 en CVE-2021-27065.
Volgens Broadcom’s blogpostaanvallers installeren webshells op openbaar toegankelijke computers voordat ze inloggegevens verkrijgen en zijwaartse netwerkbewegingen verkrijgen.
Ze plaatsten ook malware op computers in een poging om wachtwoorden te stelen met behulp van geheugendumps, de implementatie van webshells en backdoors, het uitvoeren van opdrachten, backdoor-implementatie en de installatie van op maat gemaakte tools. Deze strategie stelt het in staat om in organisatorische netwerken te infiltreren, en de combinatie van op maat gemaakte tools met andere strategieën om van het land te leven, stelt het in staat om op lange termijn persistentie in gerichte organisaties te behouden.
“Witchetty heeft laten zien dat het in staat is om zijn toolset voortdurend te verfijnen en te vernieuwen om interessante doelen in gevaar te brengen”, zegt Symantec.
Als je deze inhoud leuk vond, bekijk dan zeker onze Edgy hacker-hacks Fast Company, Zoom Mac Vulnerability en Microsoft Word die een achterdeur bieden voor hackers-artikelen.
Wat is Symantec?
Het Amerikaanse softwarebedrijf NortonLifeLock Inc., voorheen Symantec Corporation, heeft zijn hoofdkantoor in Tempe, Arizona. Het bedrijf biedt diensten en software aan voor cybersecurity. Het Fortune 500-bedrijf NortonLifeLock is een onderdeel van de S&P 500-beursindex.