Il team di cacciatori di minacce di Symantec di Broadcom ha pubblicato un avviso che mostra che i gruppi di hacker Witchetty e LookingFrog supportati da China stanno utilizzando set di strumenti avanzati per prendere di mira entità in Africa e Medio Oriente.
ESET ha fondato l’organizzazione per la prima volta nell’aprile 2022. Le sue operazioni si distinguono per l’utilizzo di una backdoor di primo stadio (X4) e di un carico utile di secondo stadio (LookBack).
Le tattiche di attacco di Witchetty sostenute dalla Cina sono state rivelate in Symantec Advisory
Secondo l’analisi di Symantec, Witchetty è collegata all’organizzazione cinese APT Cicada, nota anche come Stone Panda, e APT10, oltre a TA410. Questa organizzazione è già stata collegata ad attacchi mirati alle compagnie energetiche statunitensi.
Il toolkit del gruppo è in costante sviluppo. Attualmente utilizza una tecnica steganografica per nascondere una backdoor (Backdoor.Stegmap) sotto il logo di Microsoft Windows e si rivolge ai paesi del Medio Oriente.
Sebbene non sia nuovo, questo è un approccio insolito in cui un virus è nascosto all’interno di un’immagine. Il virus può rimuovere e creare cartelle, manipolare file, avviare/terminare processi, eseguire/scaricare eseguibili, enumerare e terminare processi e rubare dati, tra le altre cose. Ha anche la capacità di creare, leggere e rimuovere chiavi di registro.
Cicada ha preso di mira le organizzazioni giapponesi all’inizio di quest’anno, ma ora sembra aver ampliato il suo elenco di obiettivi per includere Nord America, Asia ed Europa.
“Un caricatore DLL scarica un file bitmap da un repository GitHub. Il file sembra essere semplicemente un vecchio logo di Microsoft Windows. Tuttavia, il carico utile è nascosto all’interno del file e viene decrittografato con una chiave XOR”. legge il analisi pubblicato dai ricercatori Symantec Threat Hunter di Broadcom. “Mascherare il carico utile in questo modo ha consentito agli aggressori di ospitarlo su un servizio gratuito e affidabile.
Witchetty ha dimostrato la capacità di perfezionare e aggiornare continuamente il proprio set di strumenti al fine di compromettere obiettivi di interesse. Lo sfruttamento delle vulnerabilità sui server rivolti al pubblico fornisce un percorso verso le organizzazioni, mentre gli strumenti personalizzati abbinati all’uso abile delle tattiche del vivere fuori dalla terra gli consentono di mantenere una presenza a lungo termine e persistente nelle organizzazioni mirate”.
– Symantec
Specifiche dell’attacco
La catena di infezione include l’uso di un caricatore DLL per ottenere il file bitmap GitHub, che è un logo di Microsoft Windows con codice dannoso incorporato all’interno. Questo metodo per nascondere il payload consente agli aggressori di ospitarlo su servizi gratuiti affidabili come GitHub.
Tra febbraio e settembre 2022, Witchetty ha attaccato le amministrazioni di due paesi mediorientali, nonché la borsa di un paese africano. Il gruppo ha utilizzato le vulnerabilità ProxyShell e ProxyLogon, che sono state identificate come CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 e CVE-2021-27065.
Secondo Broadcom post sul bloggli aggressori installano shell Web su computer accessibili pubblicamente prima di ottenere le credenziali e ottenere il movimento laterale della rete.
Hanno anche posizionato malware sui computer nel tentativo di rubare le password utilizzando dump della memoria, l’implementazione di shell Web e backdoor, l’esecuzione di comandi, l’implementazione di backdoor e l’installazione di strumenti su misura. Questa strategia gli consente di infiltrarsi nelle reti organizzative e la combinazione di strumenti su misura con altre strategie di vivere fuori dalla terra gli consente di sostenere la persistenza a lungo termine nelle organizzazioni mirate.
“Witchetty ha dimostrato la capacità di perfezionare e aggiornare continuamente il proprio set di strumenti per compromettere obiettivi di interesse”, afferma Symantec.
Se ti è piaciuto questo contenuto, assicurati di dare un’occhiata ai nostri hack hacker spigolosi Fast Company, Zoom Mac Vulnerability e Microsoft Word che consentono una backdoor per gli articoli degli hacker.
Cos’è Symantec?
La società di software americana NortonLifeLock Inc., precedentemente Symantec Corporation, ha sede a Tempe, in Arizona. L’azienda offre servizi e software per la sicurezza informatica. L’azienda Fortune 500 NortonLifeLock è un componente dell’indice del mercato azionario S&P 500.