Истражувачите на Symantec открија кампања на хакерската група Witchetty, која користи стеганографија за да скрие backdoor малициозен софтвер во логото на Windows.
Групата Witchetty, која исто така го носи името LookingFrog, се верува дека има блиски врски со APT10 („Cicada“, „Stone Panda“ или TA429), кинеска закана поддржана од државата. Групата, исто така, се верува дека е дел од TA410, група оперативци кои претходно биле поврзани со напади врз американски енергетски компании.
Symantec објави дека групата води нова кампања за сајбер шпионажа, започната во февруари 2022 година, која досега беше насочена кон две влади на Блискиот Исток и берзата во Африка и сè уште е во тек.
Хакерите користат голем број алатки за таргетирање на различни ранливости, како и стеганографија за да го сокријат својот малициозен софтвер од антивирусниот софтвер.
Стеганографијата е техника на криење тајни пораки (и во овој случај малвер) во датотека што е јавна, како што е слика, за да се избегне откривање. На пример, хакерот може да создаде слика што се прикажува правилно на компјутер, но всушност содржи злонамерен код што може да се извлече од него.
Во кампањата откриена од Symantec, Witchetty користи стеганографија за да скрие backdoor малвер во bitmap слика на старото лого на Windows пронајдено во складиштето GitHub.
Потоа, напаѓачите ја преземаат backdoor Stegmap што се крие на сликата, и која како и секој друг backdoor има широк спектар на функции кои му овозможуваат да извршува бројни злонамерни активности, меѓу другото, манипулација со датотеки, преземање и лансирање на друг малициозен софтвер, прекинување на процесот, модификации на регистарот на Windows и вадење датотеки од заразениот систем.
„Witchetty ја покажа способноста постојано да ја усовршува и освежува својата група алатки за да ги компромитира целите од интерес“, велат истражувачите.
TA410 и Witchetty остануваат активни закани за владите и владините организации ширум светот. Најдобар начин да се спречат нивните напади е да се применат безбедносни надградби веднаш штом ќе бидат објавени бидејќи, како што можеме да видиме, во оваа кампања хакерите се потпираат на искористување на минатогодишните ранливости за хакирање на мрежи, искористувајќи ја лошата администрација на јавно изложените сервери.