I ricercatori di sicurezza Symantec hanno scoperto una campagna dannosa della cyber gang Witchetty che utilizza la tecnica della steganografia per nascondere una backdoor in un logo di Windows.
Documentato per la prima volta da ESET nell’aprile 2022, si ritiene che Witchetty abbia stretti legami con l’attore nation state cinese APT10 (alias “Cicada”) e che la sua attività abbia preso particolarmente di mira governi, enti di beneficenza e organizzazioni industriali/manifatturiere adottando principalmente una catena d’infezione a due fasi: una backdoor di prima fase nota come X4 e un payload di seconda fase noto come LookBack.
Ultimamente, però, sembrerebbe che il gruppo abbia aggiunto nuove frecce al proprio arco. Tra questi un trojan backdoor (Backdoor.Stegmap) che sfrutta per l’appunto la steganografia per estrarre il suo carico utile da un’immagine bitmap.
Dagli antichi greci al mondo digitale: l’evoluzione della steganografia nella storia
Indice degli argomenti
La campagna di cyber spionaggio in corso
Secondo quanto riferiscono i ricercatori Symantec, la nuova campagna di cyberspionaggio sarebbe iniziata nel febbraio 2022 ed è tuttora in corso: finora avrebbe colpito due governi in Medio Oriente e la borsa di una nazione in Africa.
Il gruppo Witchetty (noto anche come LookingFrog) starebbe utilizzando la steganografia per nascondere la backdoor Stegmap crittografata con XOR in una immagine bitmap del logo di Windows (in particolare, di Windows 7) ospitata su una piattaforma affidabile anziché su di un server C2, allestito ad hoc, per ridurre al minimo le possibilità di generare allarmi di sicurezza durante le fasi di recupero.
“Un caricatore DLL scarica un file bitmap da un repository GitHub. Il file sembra essere semplicemente un vecchio logo di Microsoft Windows. Tuttavia, il carico utile è nascosto all’interno del file e viene decrittografato con una chiave XOR. Nascondere il carico utile in questo modo ha consentito agli aggressori di ospitarlo su un servizio gratuito e affidabile. È molto meno probabile che i download da host affidabili come GitHub sollevino segnali di pericolo rispetto ai download da un server di comando e controllo (C&C) controllato da un utente malintenzionato”, ha commentato il Threat Hunter Team Symantec.
Backdoor nel logo Windows: catena d’infezione
Secondo quanto riferito sul rapporto, sarebbero state sfruttate le note vulnerabilità ProxyShell:
e ProxyLogon
per ottenere l’accesso iniziale alle reti e installare delle web shell sui server non patchati. Successivamente, il payload nascosto nel file immagine verrebbe recuperato consentendo l’esecuzione di diversi comandi codificati.
Tra gli altri strumenti utilizzati ci sarebbero tre utility personalizzate:
- un proxy che consente al server C2 di agire come client invece del contrario;
- uno scanner di porte di rete;
- uno strumento per la persistenza che viene aggiunto al registro di sistema spacciandolo come un componente principale NVIDIA.
Consigli di mitigazione del rischio
Le cyber gang come Witchetty rimangono, purtroppo, minacce sempre attive per i governi e le organizzazioni non solo in Asia e Africa ma in tutto il mondo.
Il modo migliore per prevenire attacchi simili a quello trattato è quello di:
- applicare tutti gli aggiornamenti di sicurezza non appena vengono rilasciati;
- informare i dipendenti circa le tecniche di steganografia;
- condividere dei servizi ftp aziendali affidabili da cui poter scaricare file e software, interdicendo il download del materiale da fonti sconosciute;
- segmentare la rete.
Purtroppo, la campagna scoperta da Symantec dimostra come l’aggiornamento software soprattutto dei server esposti in rete non sia stato ancora recepito come buona pratica essenziale, se ancora oggi i gruppi criminali riescono a sfruttare con successo delle vulnerabilità vecchie o del recente passato.