Ce logo de Windows est dangereux

Ce logo de Windows est dangereux


Identifié en tant que LookingFrog par ESET, le groupe de cyberespionnage Witchetty est un sous-groupe de TA410 qui entretient des liens étroits avec le groupe de cyberespionnage APT10 (ou Cicada). Ce dernier œuvrerait avec le soutien de la Chine.

Les chercheurs en cybersécurité de l’équipe Symantec Threat Hunter (Broadcom Software) ont découvert des attaques de Witchetty qui ont eu lieu entre février et au moins jusqu’en septembre 2022. Elles ont pris pour cible les gouvernements de deux pays du Moyen-Orient et le marché boursier d’un pays africain.

Les attaquants ont exploité les vulnérabilités de sécurité ProxyShell et ProxyLogon – qui affectaient Microsoft Exchange Server – pour le déploiement de web shell sur des serveurs publics. Ils ont pu être en mesure de dérober des informations d’identification, se déplacer latéralement sur des réseaux informatiques et installer des malwares sur d’autres ordinateurs.

Une image piégée hébergée sur GitHub

Suite à la compromission, le groupe Witchetty a utilisé une backdoor autorisant tout un ensemble de commandes : copie, déplacement ou suppression de fichiers, création ou suppression d’un répertoire, lancement d’un nouveau processus ou arrêt d’un processus existant, création ou suppression d’une clé de registre Windows.

La porte dérobée était dissimulée dans l’image d’un ancien logo de Windows. L’image s’affichait de manière normale et le fichier piégé était hébergé sur GitHub.

 » En déguisant la charge utile de cette manière, les attaquants ont pu l’héberger sur un service gratuit et fiable. Les téléchargements à partir d’hôtes de confiance comme GitHub sont beaucoup moins susceptibles de déclencher des alertes que les téléchargements à partir d’un serveur de commande et de contrôle détenu par les attaquants. « 

De la stéganographie malveillante

Selon les chercheurs en sécurité, un tel cheval de Troie de type backdoor est une nouveauté dans l’arsenal à la disposition du groupe Witchetty. Il utilise la technique de la stéganographie.

Si cette technique de dissimulation de données dans un fichier est connue, les chercheurs soulignent qu’elle est rarement observée avec un code malveillant caché dans une image.

En l’occurrence, leur outil et module Stegmap tire parti de la stéganographie pour extraire sa charge utile d’une image bitmap téléchargée par un chargeur DLL depuis GitHub. La charge utile cachée dans le fichier est déchiffrée avec une clé XOR.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.