Es scheint, dass selbst das ikonische Windows-Logo nicht mehr sicher vor Malware ist (öffnet sich in einem neuen Tab), da es einigen Cyberkriminellen gelungen ist, bösartigen Code darin zu verstecken.
Cybersicherheitsexperten von Symantec sagen, dass sie eine solche Kampagne entdeckt haben, bei der bösartiger Code in harmlosen Bildern versteckt wurde, auch bekannt als Steganographie.
Dies geschieht normalerweise, um die Erkennung durch Antivirenprogramme zu vermeiden, da diese Lösungen Bilder selten als bösartig erkennen.
Regierungen suchen
In diesem speziellen Fall heißt die an Steganographie-Angriffen beteiligte Gruppe Witchetty, ein bekannter Bedrohungsakteur, von dem angenommen wird, dass er eng mit dem staatlich geförderten chinesischen Akteur Cicada (AKA APT10) verbunden ist, und wird auch als Teil der TA410-Organisation betrachtet, die die USA angegriffen hat Energieversorger früher.
Die Gruppe startete ihre jüngste Kampagne im Februar 2022 und richtete sich gegen mindestens zwei Regierungen im Nahen Osten.
Auch ein Angriff auf eine Börse in Afrika wäre noch aktiv. Witchetty nutzte Steganographie-Angriffe, um eine XOR-verschlüsselte Hintertür zu verbergen, die auf einem Cloud-Dienst gehostet wurde, wodurch die Wahrscheinlichkeit einer Erkennung minimiert wurde. Um Webshells auf anfälligen Endpunkten zu platzieren (wird in einem neuen Tab geöffnet), nutzten Angreifer bekannte Schwachstellen in Microsoft Exchange ProxyShell für den ersten Zugriff: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE -2021- 26855 und CVE-2021-27065.
„Das Verstecken der Nutzlast auf diese Weise ermöglichte es den Angreifern, sie auf einem kostenlosen und vertrauenswürdigen Dienst zu hosten“, sagte Symantec. „Bei Downloads von vertrauenswürdigen Hosts wie GitHub ist die Wahrscheinlichkeit deutlich geringer, dass Warnsignale ausgelöst werden, als bei Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C).“
Die XOR-verschlüsselte Hintertür ermöglicht es Angreifern, eine Reihe von Dingen zu tun, darunter das Manipulieren von Dateien und Ordnern, das Ausführen und Stoppen von Prozessen, das Ändern der Windows-Registrierung, das Herunterladen von Malware gegen zusätzliche Kosten, das Stehlen von Dokumenten und das Umwandeln des festgelegten Terminals in ein C2. Server. .
Das letzte Mal, dass wir von Cicada gehört haben, war im April 2022, als Forscher berichteten, dass die Gruppe den beliebten Mediaplayer VLC missbraucht hat, um Malware zu verbreiten und Regierungsbehörden und angrenzende Organisationen in den Staaten, Kanada, Hongkong, der Türkei und Israel auszuspionieren. , Indien, Montenegro und Italien.
Über: BleepingComputer (Öffnet in einem neuen Tab)