Backdoor.Stegmap، بدافزاری که در لوگوی ساده مایکروسافت ویندوز پنهان شده است

ویچتی برای اولین بار در آوریل 2022 مورد توجه قرار گرفت، زمانی که ESET تهدید را به عنوان یکی از زیر گروه های TA410 شناسایی کرد، یک عملیات جاسوسی سایبری مرتبط با گروه چینی تحت حمایت دولت موسوم به Cicada/APT10. Witchetty که به مجموعه ابزاری غنی از ویژگی‌های بدافزار در حال رشد مجهز است، به دلیل هدف قرار دادن دولت‌ها، نمایندگی‌های دیپلماتیک، خیریه‌ها و سازمان‌های صنعتی شناخته شده است.

همانطور که تیم شکارچی تهدید سیمانتک گزارش می دهد، ویژگی امضای Backdoor.Stegmap، کد مخربی است که در یک لوگوی آشنا هرچند قدیمی برای سیستم عامل ویندوز مایکروسافت پنهان شده است. تصویر لوگو در یک مخزن GitHub میزبانی می‌شود، یک سرویس رایگان و قابل اعتماد که در مقایسه با سرورهای سنتی فرمان و کنترل (C&C) که توسط مجرمان سایبری استفاده می‌شود، بسیار کمتر احتمال دارد که پرچم قرمز را برافراشته کند.

تصویر بزرگ: Backdoor.Stegmap یک درب پشتی قدرتمند است که در یک فایل تصویری ساده لوگوی ویندوز از طریق رمزگذاری مبتنی بر استگانوگرافی پنهان شده است. مجرمان سایبری چینی سخت با تکنیک های جدید و قدیمی کار می کنند تا به طور دائم اهداف بلندپایه دولتی و دیپلماتیک را به خطر بیندازند.

مهاجمان از آسیب‌پذیری‌های شناخته‌شده (CVE-2021-34473، CVE-2021-34523، CVE-2021-31207، CVE-2021-26855، CVE-2021-27065) برای نصب پوسته‌های وب روی سرورهای عمومی credsteal سوء استفاده کردند. حرکت در شبکه ها و نصب بدافزار بر روی رایانه های دیگر.

سیمانتک می‌گوید Witchetty توانایی «به‌طور مستمر پالایش و به‌روزرسانی مجموعه ابزارهای خود را به منظور به خطر انداختن اهداف مورد علاقه» به منظور حفظ حضور طولانی‌مدت و مداوم در سازمان‌های آسیب‌دیده نشان داده است.

بخونید:  به‌روزرسانی نسل بعدی Witcher 3 شامل ردیابی پرتو، DLSS، حالت عکس، بهبود کیفیت کیفیت است



منبع

تروجان Backdoor.Stegmap استگانوگرافی در واقع اخیراً به مجموعه ابزار فوق الذکر اضافه شده است، در حالی که ابزارهای جدید به کار گرفته شده توسط این گروه شامل یک ابزار پراکسی سفارشی، یک اسکنر پورت و یک “ابزار پایدار” است که خود را به بخش شروع خودکار رجیستری اضافه می کند. در پشت نام “NVIDIA display core component” پنهان شده است.

کمپین های مبتنی بر بدافزار در حال تبدیل شدن به تهدیدهای پیچیده تر هستند که قادر به هدف قرار دادن چندین دستگاه و سیستم عامل هستند. تکنیک‌ها و «ترفندهای» جدید به‌طور مداوم اضافه می‌شوند، در حالی که راه‌حل‌های شناخته‌شده هر از گاهی دوباره ظاهر می‌شوند. استگانوگرافی، در حالی که نه یک روش جدید و نه یک تکنیک محبوب برای پنهان کردن داده ها در تصاویر است، در واقع در یک کمپین جاسوسی جدید توسط گروهی به نام ویچتی استفاده می شود.

به گفته محققان سیمانتک، کمپین مبتنی بر Backdoor.Stegmap که توسط گروه جاسوسی سایبری Witchetty (همچنین با نام LookingFrog شناخته می شود) از فوریه 2022 فعال بوده و دو دولت خاورمیانه و بورس یک کشور آفریقایی را هدف قرار داده است.

هنگامی که یک لودر DLL لوگوی فوق الذکر را بر روی یک سیستم در معرض خطر دانلود می کند، محموله پنهان در فایل تصویر با یک کلید XOR رمزگشایی می شود. اگر با موفقیت اجرا شود، تروجان Backdoor.Stegmap می تواند یک درب پشتی کاملاً برجسته را باز کند که قادر به ایجاد فایل ها و دایرکتوری ها، شروع یا کشتن فرآیندها، تغییر رجیستری ویندوز، دانلود فایل های اجرایی جدید و موارد دیگر است.

بخونید:  انویدیا بی سر و صدا کارت های GeForce RTX 4090 را با اتصال برق ایمن تر ارتقا می دهد