A equipe de caçadores de ameaças da Symantec da Broadcom publicou um alerta mostrando que os grupos de hackers Witchetty e LookingFrog apoiados pela China estão empregando conjuntos de ferramentas aprimorados para atingir entidades na África e no Oriente Médio.
A ESET encontrou a organização pela primeira vez em abril de 2022. Suas operações se distinguem por usar um backdoor de primeiro estágio (X4) e uma carga útil de segundo estágio (LookBack).
Táticas de ataque Witchetty apoiadas pela China reveladas no Symantec Advisory
De acordo com a análise da Symantec, a Witchetty está ligada à organização chinesa APT Cicada, também conhecida como Stone Panda, e APT10, além da TA410. Esta organização já foi associada a ataques direcionados a empresas de energia dos EUA.
O kit de ferramentas do grupo está em constante desenvolvimento. Atualmente, emprega uma técnica esteganográfica para ocultar um backdoor (Backdoor.Stegmap) sob o logotipo do Microsoft Windows e tem como alvo os países do Oriente Médio.
Embora não seja novidade, esta é uma abordagem incomum na qual um vírus é escondido dentro de uma imagem. O vírus pode remover e criar pastas, manipular arquivos, iniciar/encerrar processos, executar/baixar executáveis, enumerar e matar processos e roubar dados, entre outras coisas. Ele também tem a capacidade de criar, ler e remover chaves de registro.
A Cicada tinha como alvo organizações japonesas no início deste ano, mas agora parece ter expandido sua lista de alvos para incluir América do Norte, Ásia e Europa.
“Um carregador de DLL baixa um arquivo bitmap de um repositório GitHub. O arquivo parece ser simplesmente um antigo logotipo do Microsoft Windows. No entanto, a carga útil está oculta dentro do arquivo e é descriptografada com uma chave XOR.” lê o análise publicado pelos pesquisadores do Symantec Threat Hunter da Broadcom. “Disfarçar a carga útil dessa maneira permitiu que os invasores a hospedassem em um serviço gratuito e confiável.
A Witchetty demonstrou a capacidade de refinar e atualizar continuamente seu conjunto de ferramentas para comprometer os alvos de interesse. A exploração de vulnerabilidades em servidores voltados para o público fornece uma rota para as organizações, enquanto ferramentas personalizadas combinadas com o uso hábil de táticas de vida fora da terra permitem manter uma presença persistente e de longo prazo nas organizações-alvo.”
-Symantec
Especificações do ataque
A cadeia de infecção inclui o uso de um carregador de DLL para obter o arquivo bitmap do GitHub, que é um logotipo do Microsoft Windows com código malicioso incorporado. Esse método de ocultar a carga útil permite que os invasores a hospedem em serviços gratuitos e confiáveis, como o GitHub.
Entre fevereiro e setembro de 2022, Witchetty atacou as administrações de dois países do Oriente Médio, bem como a bolsa de valores de um país africano. O grupo utilizou as vulnerabilidades ProxyShell e ProxyLogon, que foram identificadas como CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 e CVE-2021-27065.
De acordo com a Broadcom postagem do blogos invasores instalam shells da Web em computadores acessíveis publicamente antes de obter credenciais e obter movimentação lateral da rede.
Eles também colocaram malware em computadores na tentativa de roubar senhas usando dumps de memória, implantação de shells e backdoors da Web, execução de comandos, implantação de backdoor e instalação de ferramentas sob medida. Essa estratégia permite que ela se infiltre nas redes organizacionais, e a combinação de ferramentas personalizadas com outras estratégias de vida fora da terra permite que ela sustente a persistência de longo prazo nas organizações-alvo.
“A Witchetty demonstrou a capacidade de refinar e atualizar continuamente seu conjunto de ferramentas para comprometer alvos de interesse”, diz a Symantec.
Se você gostou deste conteúdo, não deixe de conferir nossos artigos sobre hackers Edgy, Fast Company, Zoom Mac Vulnerability e Microsoft Word, permitindo um backdoor para hackers.
O que é a Symantec?
A corporação americana de software NortonLifeLock Inc., anteriormente Symantec Corporation, tem sua sede em Tempe, Arizona. A empresa oferece serviços e software para segurança cibernética. A empresa da Fortune 500 NortonLifeLock é um componente do índice do mercado de ações S&P 500.