Broadcom の Symantec の脅威ハンター チームは、中国が支援する Witchetty と LookingFrog のハッカー グループが、強化されたツールセットを使用してアフリカと中東の組織を標的にしていることを示すアラートを公開しました。
ESET は 2022 年 4 月に初めてこの組織を発見しました。その操作は、第 1 段階のバックドア (X4) と第 2 段階のペイロード (LookBack) を使用することによって区別されます。
Symantec Advisory で明らかになった、中国が支援する Witchetty 攻撃の手口
Symantec の分析によると、Witchetty は、Stone Panda としても知られる中国の APT 組織 Cicada、APT10、および TA410 にリンクされています。 この組織は、すでに米国のエネルギー企業に対する標的型攻撃に関与しています。
グループのツールキットは常に開発されています。 現在、Microsoft Windows ロゴの下にバックドア (Backdoor.Stegmap) を隠すステガノグラフィ技術を採用しており、中東諸国を標的にしています。
目新しいものではありませんが、これはウイルスを画像の中に隠すという珍しいアプローチです。 このウイルスは、フォルダーの削除と作成、ファイルの操作、プロセスの起動/終了、実行可能ファイルの実行/ダウンロード、プロセスの列挙と強制終了、データの盗みなどを行う可能性があります。 また、レジストリ キーを作成、読み取り、および削除する機能もあります。
Cicada は今年初めに日本の組織を標的にしていましたが、現在は標的リストを拡大して、北米、アジア、ヨーロッパを含めているようです。
「DLL ローダーは、GitHub リポジトリからビットマップ ファイルをダウンロードします。 このファイルは、単に古い Microsoft Windows ロゴのように見えます。 ただし、ペイロードはファイル内に隠され、XOR キーで復号化されます。」 Broadcom の Symantec Threat Hunter の研究者によって公開された分析を読みます。 「この方法でペイロードを偽装することで、攻撃者は無料の信頼できるサービスでペイロードをホストすることができました。
Witchetty は、対象の標的を侵害するためにツールセットを継続的に改良および更新する能力を実証してきました。 公開サーバーの脆弱性を悪用することで、組織への侵入経路を提供し、カスタム ツールを巧みに組み合わせて、土地を離れて生活する戦術を巧みに使用することで、標的の組織で長期的かつ永続的な存在を維持することができます。」
-シマンテック
攻撃の詳細
感染チェーンには、悪意のあるコードが埋め込まれた Microsoft Windows ロゴである GitHub ビットマップ ファイルを取得するための DLL ローダーの使用が含まれます。 ペイロードを隠すこの方法により、攻撃者は GitHub などの信頼できる無料サービスでペイロードをホストできます。
2022 年 2 月から 9 月にかけて、ウィチェッティは中東の 2 つの国の行政機関と、アフリカのある国の証券取引所を攻撃しました。 このグループは、CVE-2021-31207、CVE-2021-34473、CVE-2021-34523、CVE-2021-26855、および CVE-2021-27065 として特定された ProxyShell および ProxyLogon の脆弱性を利用しました。
Broadcom のブログ投稿によると、攻撃者は、資格情報を取得して横方向のネットワーク移動を取得する前に、公開されているコンピューターに Web シェルをインストールします。
また、メモリ ダンプ、Web シェルとバックドアの展開、コマンドの実行、バックドアの展開、特注ツールのインストールを使用してパスワードを盗もうとして、コンピューターにマルウェアを配置しました。 この戦略により、組織のネットワークに侵入することができ、カスタマイズされたツールと他の土地から離れた生活戦略を組み合わせることで、標的の組織で長期的に存続することができます。
Symantec は次のように述べています。
このコンテンツを楽しんだ場合は、ハッカーのバックドアを可能にするエッジの効いたハッカーによる Fast Company、Zoom Mac の脆弱性、および Microsoft Word の記事を必ずチェックしてください。
シマンテックとは
米国のソフトウェア企業 NortonLifeLock Inc. (旧 Symantec Corporation) は、アリゾナ州テンピに本社を置いています。 この事業は、サイバーセキュリティのためのサービスとソフトウェアを提供しています。 Fortune 500 企業の NortonLifeLock は、S&P 500 株式市場指数の構成要素です。
Source: シマンテック、アフリカと中東を標的とする中国支援のウィチェッティ ハッカー グループを明らかに: その方法は?