Uncategorized

Grupo de piratería oculta malware de puerta trasera dentro de la imagen del logotipo de Windows

Los investigadores de seguridad han descubierto una campaña maliciosa del grupo de piratería ‘Witchetty’, que utiliza esteganografía para ocultar un malware de puerta trasera en un logotipo de Windows.

Se cree que Witchetty tiene estrechos vínculos con el actor de amenazas chino respaldado por el estado APT10 (también conocido como ‘Cicada’). El grupo también se considera parte de los operativos TA410, anteriormente vinculados a ataques contra proveedores de energía estadounidenses.

Symantec informa que el grupo de amenazas está operando una nueva campaña de ciberespionaje lanzada en febrero de 2022 que se dirigió a dos gobiernos en el Medio Oriente y una bolsa de valores en África y aún está en curso.

Uso del logotipo de Windows en su contra

En esta campaña, los hackers actualizaron su kit de herramientas para atacar diferentes vulnerabilidades y utilizaron la esteganografía para ocultar su carga maliciosa del software antivirus.

La esteganografía es el acto de ocultar datos dentro de otra información pública no secreta o archivos informáticos, como una imagen, para evadir la detección. Por ejemplo, un hacker puede crear un archivo de imagen de trabajo que se muestre correctamente en la computadora, pero que también incluya código malicioso que se pueda extraer de él.

En la campaña descubierta por Symantec, Witchetty está utilizando esteganografía para ocultar un malware de puerta trasera cifrado XOR en una antigua imagen de mapa de bits del logotipo de Windows.

Logotipo de Windows que oculta la carga útil
Logotipo de Windows que oculta la carga útil (Symantec)

El archivo está alojado en un servicio en la nube de confianza en lugar del servidor de comando y control (C2) del actor de amenazas, por lo que se minimizan las posibilidades de generar alarmas de seguridad mientras se busca.

«Disfrazar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y confiable», explica Symantec en su informe.

«Las descargas de hosts de confianza como GitHub tienen muchas menos probabilidades de generar banderas rojas que las descargas de un servidor de comando y control (C&C) controlado por un atacante».

El ataque comienza con los actores de amenazas que obtienen acceso inicial a una red al explotar las cadenas de ataque Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE-2021-27065) para soltar webshells en servidores vulnerables.

A continuación, los actores de amenazas obtienen la puerta trasera que se esconde en el archivo de imagen, lo que les permite hacer lo siguiente:

  • Realizar acciones de archivos y directorios
  • Iniciar, enumerar o eliminar procesos
  • Modificar el Registro de Windows
  • Descargar cargas útiles adicionales
  • Exfiltrar archivos

Witchetty también introdujo una utilidad proxy personalizada que hace que la computadora infectada actúe «como el servidor y se conecte a un servidor C & C que actúa como cliente, en lugar de al revés».

Otras herramientas incluyen un escáner de puerto personalizado y una utilidad de persistencia personalizada que se agrega en el registro como «COMPONENTE CENTRAL DE PANTALLA NVIDIA».

Junto con las herramientas personalizadas, Witchetty utiliza utilidades estándar como Mimikatzand para volcar credenciales de LSASS y abusa de «lolbins» en el host, como CMD, WMIC y PowerShell.

TA410 y Witchetty siguen siendo amenazas activas para los gobiernos y las organizaciones estatales en Asia, África y en todo el mundo. La mejor manera de prevenir sus ataques es aplicar actualizaciones de seguridad a medida que se publican.

En la campaña descubierta por Symantec, los hackers confían en explotar las vulnerabilidades del año pasado para violar la red objetivo, aprovechando la mala administración de los servidores expuestos públicamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.