Безбедносните експерти на Symantec пронајдоа нов малициозен код, кој овој пат е скриен во слика. Во нападот се користи техника стеганографија за да се скрие порака во логото на Windows. За нападот е обвинета групата Witchetty, а целите на нападот се лоцирани на Блискиот Исток и во Африка.
Witchetty се поврзува со кинескata државнa хакерска група „APT10“. Групата во минатото се поврзуваше и со напади врз енергетскиот сектор во САД. Официјално Witchetty се документирани во април 2022 година. Дел од алатките по кои групата е препознатлива се X4 и LookBack. Осомничени се за таргетирани напади врз влади, дипломатски претставништва, добротворни организации, индустриски и производствени капацитети.
Новиот напад започнал уште во февруари оваа година, а главни цели се влади на две држави од Блискиот Исток и берза во Африка. Нападот е активен и во моментов, велат експертите на Symantec.
За нападите се искористени неколку пропусти во ProxyShell (CVE-2021-34473, CVE-2021-34523, и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE-2021-27065). Напаѓачите ги искористиле пропустите да инсталираат web shell на серверите, а потоа краделе податоци за логирање, се распространувале по мрежите и инсталирале малициозен софтвер на компјутерите.
Она што верoјатно е поинтересно е користењето на стеганографија. Стеганографија е техника со која се кријат податоци во фајлови. На пример податоците можат да се скријат во слика. Сликата се отвора на компјутерот, изгледа нормално, но во неа е скриен и дополнителен код. Ваквото криење на податоците му овозможува на напаѓачот да ги хостира сликите на бесплатни и доверливи клауд сервиси. Преземените фајлови од GitHub се помалку сомнителни од фајлови кои се преземаат од командните сервери на напаѓачите.
Напаѓачите користеле XOR-криптиран малициозен код, скриен во слика на старото лого на Windows. Сликата се хостира на сервери кои се доверливи, а со тоа се намалува опасноста од аларми во време на преземање на сликата.
Нападот е во неколку чекори. Во првиот чекор со ProxyShell и ProxiLogon пропустите напаѓачот се здобива со првичен пристап до серверите. Потоа ја презема сликата со скриен „backdoor“. Ова му овозможува да креира и брише фолдери; да копира, преместува и брише фајлови; да креира процеси; да преземе и да изврши фајл од [REMOTE HOSTNAME]/master/cdn/site.htm; да затвора процеси; да украде локални фајлови; да прочита, креира или избрише „registry key“ и да ја постави неговата вредност.
Напаѓачите за нападот ја искористиле лошата работа на администраторите на серверите кои требаa да ги затворат пропустите кои беа објавени пред една година.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
