• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Хакеры спрятали вредоносное ПО в логотипе Windows

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи безопасности Symantec обнаружили вредоносную кампанию группировки Witchetty, которая использует стеганографию для сокрытия бэкдора в логотипе Windows.

Symantec сообщает , что кампания кибершпионажа началась в феврале 2022 года и нацелена на правительства на Ближнем Востоке и фондовую биржу в Африке. В кампании Witchetty использует стеганографию, чтобы скрыть вредоносное ПО, зашифрованное с помощью XOR-шифрования, в старом растровом изображении логотипа Windows.

Файл размещается на доверенном облачном сервисе, а не на сервере управления и контроля (C&C) злоумышленника, поэтому средства защиты не обнаружат бэкдор при его извлечении. По словам экспертов, загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают подозрения инструментов защиты, чем загрузки с C&C сервера.

Атака начинается с того, что злоумышленники получают первоначальный доступ к сети, используя ошибки Microsoft Exchange ProxyShell и ProxyLogon для сброса веб-оболочек на уязвимые серверы. Затем киберпреступники извлекают бэкдор, скрывающийся в файле образа, что позволяет им делать следующее:
  • Взаимодействовать с файлами и каталогами;
  • Выполнять запуск, перечисление или уничтожение процессов;
  • Изменять реестр Windows;
  • Доставлять дополнительные полезные нагрузки;
  • Эксфильтровать файлы.
Witchetty также представила специальную прокси-утилиту, которая заставляет зараженный компьютер действовать «как сервер и подключаться к C&C серверу, действующему как клиент, а не наоборот». Другие инструменты группы включают настраиваемый сканер портов и утилиту сохраняемости, которая добавляет себя в реестр как «основной компонент дисплея NVIDIA».

В обнаруженной кампании хакеры используют старые уязвимости, чтобы взломать целевую сеть, воспользовавшись плохим администрированием общедоступных серверов.

Считается, что Witchetty связана с поддерживаемой государством китайской группой APT10 (также известной как Cicada). Группа также считается частью TA410 , ранее связанной с атаками на энергетические компании США. TA410 и Witchetty остаются активной угрозой для правительств и государственных организаций во всем мире, в частности в Азии и Африке.
 
Сверху