Symantec’in güvenlik araştırmacıları tarafından yakın zamanda yapılan bir keşifte, Witchetty grubunun steganografi kullanarak Windows logosunun arkasına bir arka kapı gizleyen kötü niyetli bir kampanya başlattığı tespit edildi.
Şubat 2022’de başlayan bu siber casusluk kampanyası, Orta Doğu ve Afrika borsasındaki birçok ülkeyi hedef alıyor.
Windows logosunun eski bir bitmap’i, XOR ile şifrelenmiş bir kötü amaçlı yazılımı gizlemek için kampanyada steganografiye tabi tutulur.
cadı
ESET, Nisan 2022’de keşfedilen Witchetty’yi ilk tespit eden güvenlik şirketi ve TA410’un (aka Cicada) alt üyelerinden biri.
Başta aşağıdaki bölgelerde olmak üzere çeşitli alanlarda hedeflere saldırmak için yeni kötü amaçlı yazılım kullanan Witchetty hacker grubunun (diğer adıyla LookingFrog) araç setinde sürekli bir güncelleme yapıldı: –
Grup kısa süre önce cephaneliğinde “Backdoor.Stegmap” adlı bir arka kapı Truva atı da dahil olmak üzere bir dizi yeni araç kullanmaya başladı.
Teknik Analiz
Bir Symantec raporuna göre, XOR ile şifrelenen kötü amaçlı yazılım, saldırganın C&C sunucularında barındırılmak yerine güvenilir bir bulut hizmetinde barındırılıyor. Sonuç olarak, arka kapı alındığında ve etkinleştirildiğinde, güvenlik araçları onu algılayamaz.
Güvenlik araçlarının GitHub gibi güvenilir bir ana bilgisayardan indirildiğinden şüphelenme olasılığı, bir C&C sunucusundan yapılan indirmeye göre daha düşüktür, çünkü GitHub’dan indirmenin meşru olma olasılığı daha yüksektir.
Saldırganlar, Microsoft Exchange ProxyShell ve ProxyLogon hatalarını kullanarak ilk ağ erişimini elde eder ve ardından kötü niyetli web kabuklarını savunmasız sunuculara bırakır.
Arka kapının görüntü dosyasından çıkarılmasının ardından siber suçlular aşağıdaki eylemleri gerçekleştirebilir:-
- Dosyaları ve dizinleri düzenleme ve değiştirme
- Komut satırından başlatma, numaralandırma ve öldürme işlemleri yapılabilir.
- Kötü amaçlı değişiklikleri yapmak için Windows kayıt defterini düzenleyin
- Ek yüklerin teslim edildiğinden emin olun
- Dosyaların çıkarılması
Kullanılan Yeni Araçlar
Aşağıda saldırganlar tarafından kullanılan tüm yeni araçlardan bahsettik:-
- Özel proxy yardımcı programı
- Özel bağlantı noktası tarayıcı
- Özel kalıcılık yardımcı programı
Etkilenen bilgisayarlar, kendileri bir istemci gibi davranacak şekilde yapılandırılmadan, sunucular gibi davranacak ve C&C sunucularıyla istemciler olarak iletişim kuracak şekilde yapılandırılır.
Bilgisayar korsanları, hedef ağdan ödün vermek için bu kampanyanın bir parçası olarak kötü yönetilen genel sunuculardan yararlanarak eski güvenlik açıklarından yararlanıyorlardı.
Witchetty’nin devlet destekli Çinli grup APT10 ile bağlantılı olma ihtimali kuvvetli. Dünyanın her yerinde, hükümetler ve devlet kurumları TA410 ve Witchetty’den gelen tehditlere karşı savunmasızdır.
Ancak saldırılarında veya kötü niyetli kampanyalarında öncelikle Asyalı ve Afrikalı kuruluşları hedef aldıklarına şüphe yok.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin