L’équipe de chasseurs de menaces de Symantec de Broadcom a publié une alerte montrant que les groupes de hackers Witchetty et LookingFrog soutenus par la Chine utilisent des outils améliorés pour cibler des entités en Afrique et au Moyen-Orient.
ESET a trouvé l’organisation pour la première fois en avril 2022. Ses opérations se distinguent par l’utilisation d’une porte dérobée de première étape (X4) et d’une charge utile de deuxième étape (LookBack).
Les tactiques d’attaque de Witchetty soutenues par la Chine révélées dans Symantec Advisory
Selon l’analyse de Symantec, Witchetty est liée à l’organisation chinoise APT Cicada, également connue sous le nom de Stone Panda, et APT10, ainsi qu’à TA410. Cette organisation a déjà été liée à des attaques ciblées contre des sociétés énergétiques américaines.
La boîte à outils du groupe est en constante évolution. Il utilise actuellement une technique stéganographique pour dissimuler une porte dérobée (Backdoor.Stegmap) sous le logo Microsoft Windows et cible les pays du Moyen-Orient.
Bien qu’il ne s’agisse pas d’une nouveauté, il s’agit d’une approche inhabituelle dans laquelle un virus est dissimulé dans une image. Le virus peut supprimer et créer des dossiers, manipuler des fichiers, lancer/terminer des processus, exécuter/télécharger des exécutables, énumérer et tuer des processus et voler des données, entre autres. Il a également la capacité de créer, lire et supprimer des clés de registre.
Cicada ciblait les organisations japonaises plus tôt cette année, mais il semble maintenant avoir élargi sa liste de cibles pour inclure l’Amérique du Nord, l’Asie et l’Europe.
“Un chargeur DLL télécharge un fichier bitmap à partir d’un référentiel GitHub. Le fichier semble être simplement un ancien logo Microsoft Windows. Cependant, la charge utile est cachée dans le fichier et est déchiffrée avec une clé XOR. lit le une analyse publié par les chercheurs de Symantec Threat Hunter de Broadcom. “Déguiser la charge utile de cette manière a permis aux attaquants de l’héberger sur un service gratuit et de confiance.
Witchetty a démontré sa capacité à affiner et à rafraîchir continuellement son ensemble d’outils afin de compromettre les cibles d’intérêt. L’exploitation des vulnérabilités sur les serveurs publics lui fournit une voie vers les organisations, tandis que des outils personnalisés associés à une utilisation habile des tactiques de vie hors de la terre lui permettent de maintenir une présence persistante à long terme dans les organisations ciblées.
-Symantec
Spécificités de l’attaque
La chaîne d’infection comprend l’utilisation d’un chargeur DLL pour obtenir le fichier bitmap GitHub, qui est un logo Microsoft Windows avec un code malveillant intégré à l’intérieur. Cette méthode de dissimulation de la charge utile permet aux attaquants de l’héberger sur des services fiables et gratuits tels que GitHub.
Entre février et septembre 2022, Witchetty a attaqué les administrations de deux pays du Moyen-Orient, ainsi que la bourse d’un pays africain. Le groupe a utilisé les vulnérabilités ProxyShell et ProxyLogon, qui ont été identifiées comme CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 et CVE-2021-27065.
Selon Broadcom article de blogles attaquants installent des shells Web sur des ordinateurs accessibles au public avant d’obtenir des informations d’identification et de se déplacer latéralement sur le réseau.
Ils ont également placé des logiciels malveillants sur les ordinateurs dans le but de voler des mots de passe à l’aide de vidages de mémoire, du déploiement de shells Web et de portes dérobées, de l’exécution de commandes, du déploiement de portes dérobées et de l’installation d’outils sur mesure. Cette stratégie lui permet d’infiltrer les réseaux organisationnels, et la combinaison d’outils sur mesure avec d’autres stratégies de vivre hors de la terre lui permet de maintenir une persistance à long terme dans les organisations ciblées.
“Witchetty a démontré sa capacité à affiner et actualiser en permanence son ensemble d’outils afin de compromettre les cibles d’intérêt”, déclare Symantec.
Si vous avez apprécié ce contenu, assurez-vous de consulter nos articles Edgy hacker hacks Fast Company, Zoom Mac Vulnerability et Microsoft Word permettant une porte dérobée pour les pirates.
Qu’est-ce que Symantec ?
La société américaine de logiciels NortonLifeLock Inc., anciennement Symantec Corporation, a son siège social à Tempe, en Arizona. L’entreprise propose des services et des logiciels pour la cybersécurité. La société Fortune 500 NortonLifeLock fait partie de l’indice boursier S&P 500.