El día 29 de septiembre del presente año, los investigadores de seguridad de la empresa Symantec, han publicado una nueva investigación con respecto a una campaña maliciosa del grupo de amenaza llamado «Witchetty«, que utiliza la esteganografía para ocultar malware para generar un Backdoor, en un logotipo de Windows. Para ser más certero, Windows 7.
Curiosidad, se cree que «Witchetty» tiene estrechos vínculos con el actor de amenazas chino respaldado por el estado APT10 (también conocido como «Cicada«). El grupo también se considera parte de los operativos TA410, anteriormente vinculados a ataques contra proveedores de energía estadounidenses.
Symantec informa que el grupo de amenazas está operando una nueva campaña de ciberespionaje lanzada en febrero de 2022, y va dirigió a dos gobiernos en el Medio Oriente y una bolsa de valores en África. Actualmente, sigue en activa esta operación de ciberespionaje por parte de Witchetty.
En esta campaña, el grupo de amenaza actualizaron su kit de herramientas para atacar diferentes vulnerabilidades y utilizaron la esteganografía para ocultar su carga maliciosa del antivirus.
Contexto, la esteganografía es el acto de ocultar datos dentro de otra información pública no secreta o archivos informáticos, como una imagen, para evadir la detección. Por ejemplo, un cibercriminales pueden crear un archivo de imagen de trabajo que se muestre correctamente en la computadora, pero que también incluya código malicioso que se pueda extraer de él.
En la campaña descubierta por Symantec, Witchetty está utilizando esteganografía para ocultar un malware que genera un Backdoor cifrado XOR en una antigua imagen de mapa de bits del logotipo de Windows.
El archivo está alojado en un servicio en la nube de confianza en lugar del servidor de comando y control (C2) del actor de amenazas, por lo que se minimizan las posibilidades de generar alarmas de seguridad mientras se busca.
«Disfrazar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y confiable«, explica Symantec en su informe.
«Las descargas de hosts de confianza como GitHub tienen muchas menos probabilidades de generar banderas rojas que las descargas de un servidor de comando y control (C&C) controlado por un atacante«.
El ataque comienza con los actores de amenazas que obtienen acceso inicial a una red al explotar las cadenas de ataque Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE-2021-27065) para soltar webshells en los servidores vulnerables.
A continuación, los actores de amenazas obtienen el Backdoor que se esconde en la imagen, lo que les permite hacer lo siguiente:
- Realizar acciones de archivos y directorios
- Iniciar, enumerar o eliminar procesos
- Modificar el Registro de Windows
- Descargar cargas útiles adicionales
- Exfiltrar archivos
Witchetty también introdujo una utilidad de un proxy personalizado que hace que la computadora infectada actúe «como el servidor y se conecte a un servidor C&C que actúa como cliente, en lugar de al revés«.
Otras herramientas incluyen un escáner de puerto personalizado y una utilidad de persistencia personalizada que se agrega en el registro como «COMPONENTE CENTRAL DE PANTALLA NVIDIA«.
Junto con las herramientas personalizadas, Witchetty utiliza utilidades estándar como Mimikatzand para volcar credenciales de LSASS y abusa de «lolbins» en el host, como CMD, WMIC y PowerShell.
TA410 y Witchetty siguen siendo amenazas activas para los gobiernos y las organizaciones estatales en Asia, África y en todo el mundo. La mejor manera de prevenir sus ataques informáticos es aplicar actualizaciones de seguridad a medida que se publican.
En la campaña descubierta por Symantec, los actores de amenazas confían en explotar las vulnerabilidades del año pasado para violar la red objetivo, aprovechando la mala administración de los servidores expuestos públicamente.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
