インターネットのスパイが、中東諸国の政府に対する攻撃の一環として、古い Windows ロゴにスパイウェアを隠していたことが発覚した。
Witchetty ギャングはステガノグラフィーを使用して、Backdoor.Stegmap と呼ばれるバックドア Windows マルウェアをビットマップ イメージに隠しました。
「攻撃者によって使用されることは稀ですが、ステガノグラフィーは、もし成功すれば、一見無害に見える画像ファイルに悪意のあるコードを偽装するために活用される可能性があります」と、シマンテックの脅威ハンターチームの研究者は今週記しています。「このようにペイロードを偽装することで、攻撃者はそれを無料で信頼できるサービス上にホストすることができました。」
一見無害に見えるが、システム管理者は異論を唱えるかもしれない…ペイロードに使用された画像。出典:シマンテック
私たちが知る限り、Witchetty はまずネットワークを侵害して 1 つ以上のシステムに侵入し、次に GitHub のリポジトリなどからこのイメージをダウンロードし、その中のスパイウェアを解凍して実行します。
このようにペイロードを隠し、ファイルをオンライン上の無害な場所に置くことは、セキュリティソフトウェアを回避する上で大きな利点となる。「GitHub などの信頼できるホストからのダウンロードは、攻撃者が管理するコマンドアンドコントロール (C&C) サーバーからのダウンロードよりも、警告が表示される可能性がはるかに低い」と研究チームは述べている。
したがって、最初のアクセス権を取得した後にこの写真を取得しても、内部アラームが鳴る可能性は低くなります。
4月に、欧州のサイバーセキュリティ企業ESETのアナリストらは、当時はLookingFrogと呼ばれていたWitchettyを、米国の公共事業セクターの企業や中東およびアフリカの外交機関を標的にすることで知られるAPT10(別名Cicada)ギャングと緩いつながりを持つスパイ集団TA410内の3つのサブグループの1つとして記録した。
Red ApolloやStone Pandaとしても知られるAPT10は、今年初めに台湾の金融サービス企業を標的とした攻撃キャンペーンを展開しました。LookingFrog、FlowingFrog、JollyFrogはTA410の3つのサブグループであり、ESETによると、LookingFrogは中東とアフリカの一部地域に重点的に活動しています。
シマンテックの研究者らは、Stegmapの使用はWitchettyのツールセットの大規模なアップデートの一部であると述べている。このグループは、X4と呼ばれる第一段階のバックドアと、LookBackと呼ばれる第二段階のペイロードを使用することが知られており、ESETによると、これらは政府機関、外交使節団、慈善団体、そして産業・製造業の組織を標的としている。
マルウェアのアップグレードで敵はより巧妙になる
WitchettyはLookBackを使い続けていますが、Stegmapなどのマルウェアを武器に加えています。Stegmapをネットワークに侵入させるには、GitHubリポジトリからWindowsロゴのビットマップファイルをダウンロードするDLLローダーを実行します。ペイロードはビットマップファイルに隠されており、XOR演算とキーを使って復号されます。
ペイロードは外部へのバックドアを開き、ファイルのコピー、移動、削除から、ディレクトリの削除、新しいプロセスの開始、既存のプロセスの強制終了、Windows レジストリ キーの作成または削除まで、マスターから発行されたさまざまなコマンドを実行できます。
- ハッキングされたFast CompanyがApple News経由で「わいせつで人種差別的な」警告を送信
- Noberusランサムウェアが情報窃盗能力をアップグレード、Veeamバックアップソフトウェアを標的に
- オーストラリアの通信会社への攻撃で重要な顧客データが流出
- マイクロソフトによると、このAndroidスパイウェアはWindowsの膨大な数の欠陥の温床となっている。
シマンテックの研究者によると、WitchettyはStegmapを用いて中東の2つの政府とアフリカの証券取引所に対するスパイ活動を開始した。標的のネットワークへの最初のアクセスは、Microsoft ExchangeのProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)およびProxyLogon(CVE-2021-26855、CVE-2021-27065)の脆弱性を悪用することで取得され、公開Webサーバーに悪意のあるスクリプトがインストールされた。その後、攻撃者はユーザーのログイン認証情報を盗み出し、企業ネットワークを横断的に移動して、Stegmapなどの悪質なソフトウェアをコンピュータにインストールすることができた。
Witchettyは、ポートスキャナであるMimikatzやその他のツールも利用します。その中には、レジストリに自身を自動起動リストに追加し、「Nvidiaディスプレイコアコンポーネント」としてリストアップすることで、再起動時に悪意のあるコードが再実行されるようにするツールも含まれています。
「ウィッチェッティは、関心のあるターゲットを侵害するために、ツールセットを継続的に改良し、更新する能力を実証した」と研究者らは書いている。
「公開サーバーの脆弱性を悪用することで組織への侵入経路を確保し、カスタムツールと環境寄生型戦術を巧みに組み合わせることで、標的の組織に長期的かつ持続的に存在し続けることができます。」®
