Witchetty APT在针对中东实体的攻击中使用了隐写术

Broadcom的赛门铁克威胁猎人团队观察到一个威胁行为者，被追踪为Witchetty，使用隐写术将以前没有证件的后门隐藏在Windows徽标中。该集团利用后门袭击中东政府。

在2022年4月，网络安全公司ESET首次发现了网络间谍组织Witchetty (又名”寻找弗罗格” )，专家认为它是与中国有关的TA410集团(又名APT10、蝉、石熊猫、TA429等)的一个分组。

在针对中东和非洲的政府、外交使团、慈善机构和工业/制造业组织的攻击中，APT集团一直在不断改进其工具集，使用新的恶意软件。

Witchetty的操作特点是使用了两款恶意软件，第一级后门被称为X4，第二级模块化恶意软件被称为追溯。

在2022年2月至9月期间，该集团针对两个中东国家的政府和一个非洲国家的证券交易所。

威胁攻击者利用ProxyShell ( CVE – 2021 – 34473、CVE – 2021 – 34523和CVE – 2021 – 31207)和ProxyLogon ( CVE – 2021 – 26855和CVE – 2021 – 26855)漏洞，在执行恶意操作(例如窃取凭据、横跨网络移动和删除附加恶意负载)之前，在公共服务器上部署Web shell。

在最近的攻击中，该组开始使用以前未被发现的植入物作为后门。Stegmap依靠隐写术将恶意载荷隐藏在GitHub存储库上的旧Microsoft Windows徽标的位图图像中。将恶意代码隐藏在托管在可信服务上的图像中，使得攻击者能够逃避检测。

DLL加载器从GitHub存储库下载位图文件。该文件似乎只是一个旧的Microsoft Windows徽标。然而，有效载荷被隐藏在文件中，并使用XOR密钥解密。”阅读Broadcom的赛门铁克威胁猎人研究人员发表的分析”。以这种方式伪装有效载荷，使攻击者能够将其托管在一个自由、可信的服务上。