Sembra che anche l'iconico logo di Windows non sia più al sicuro dai malware (si apre in una nuova scheda), in quanto alcuni criminali informatici sono riusciti a nascondere al suo interno codice dannoso.
Gli esperti di sicurezza informatica di Symantec affermano di aver rilevato una di queste campagne utilizzando un processo per nascondere codice dannoso in immagini innocue, noto anche come steganografia.
Questo di solito viene fatto per evitare il rilevamento da parte dei programmi antivirus, poiché queste soluzioni raramente rilevano le immagini come dannose.
alla ricerca di governi
In questo caso particolare, il gruppo coinvolto negli attacchi alla steganografia si chiama Witchetty, un noto attore di minacce ritenuto fortemente legato all'attore sponsorizzato dallo stato cinese Cicada (AKA APT10), ed è anche considerato parte dell'organizzazione TA410 che ha attaccato gli Stati Uniti fornitori di energia ai vecchi tempi.
Il gruppo ha lanciato la sua ultima campagna nel febbraio 2022, prendendo di mira almeno due governi del Medio Oriente.
Inoltre, sarebbe ancora attivo un attacco a uno scambio in Africa. Witchetty ha utilizzato attacchi di steganografia per nascondere una backdoor crittografata con XOR, che era ospitata su un servizio cloud, riducendo al minimo le sue possibilità di rilevamento. Per posizionare webshell su endpoint vulnerabili (si apre in una nuova scheda), gli aggressori hanno sfruttato vulnerabilità note in Microsoft Exchange ProxyShell per l'accesso iniziale: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE -2021-26855 e CVE -2021-27065.
"Nascondere il payload in questo modo ha consentito agli aggressori di ospitarlo su un servizio gratuito e affidabile", ha affermato Symantec. "I download da host attendibili come GitHub hanno molte meno probabilità di sollevare segnali d'allarme rispetto ai download da un server di comando e controllo (C&C) controllato da un utente malintenzionato."
La backdoor crittografata XOR consente agli attori delle minacce di fare una serie di cose, tra cui la manipolazione di file e cartelle, l'esecuzione e l'arresto di processi, la modifica del registro di Windows, il download di malware a costi aggiuntivi, il furto di documenti e la trasformazione del terminale impegnato in un C2. server. .
L'ultima volta che abbiamo sentito parlare di Cicada è stato nell'aprile 2022, quando i ricercatori hanno riferito che il gruppo ha utilizzato in modo improprio il popolare lettore multimediale VLC per distribuire malware e spiare agenzie governative e organizzazioni adiacenti situate negli stati, Canada, Hong Kong, Turchia, Israele. , India, Montenegro e Italia.
Via: BleepingComputer (si apre in una nuova scheda)