Ảnh logo Windows bị tin tặc lợi dụng giấu mã độc backdoor

Các chuyên gia bảo mật vừa phát hiện ra một chiến dịch phát tán mã độc khá tinh vi của nhóm hacker có tên "Witchetty". Nhóm này sử dụng kỹ thuật ẩn mã (steganography) để ẩn một mã độc backdoor vào một bức ảnh logo Windows.

Witchetty được cho là có quan hệ mật thiết với nhóm hacker APT10 (được cho là nhóm hacker được chính phủ Trung Quốc hậu thuẫn, tên khác là Cicada). Nhóm này cũng được cho là một phần của chiến dịch TA410, có liên quan tới các cuộc tấn công nhắm vào các nhà cung cấp năng lượng của Mỹ thời gian trước.

Witchetty đang thực hiện một chiến dịch gián điệp mạng nhắm vào hai chính phủ ở Trung Đông và một sàn chứng khoán ở châu Phi từ tháng 02/2022 và vẫn đang tiếp diễn. Trong chiến dịch này, hacker làm mới công cụ của chúng để nhắm vào các lỗ hổng khác nhau và sử dụng kỹ thuật steganography để ẩn payload độc hại khỏi các phần mềm diệt virus..

Steganography là kỹ thuật giấu dữ liệu trong các file máy tính hoặc các thông tin công khai, không bí mật khác, chẳng hạn như một bức ảnh để tránh bị phát hiện. Ví dụ, hacker có thể tạo một file hình ảnh với khả năng hiển thị hình ảnh bình thường trên máy tính nhưng cũng bao gồm mã độc có thể được trích xuất từ nó. Witchetty đã sử dụng kỹ thuật steganography để che dấu mã độc backdoor được mã hóa XOR trong hình ảnh dạng bitmap của một logo Windows cũ.

File này được lưu trữ trên một dịch vụ đám mây đáng tin cậy thay vì máy chủ command and control (C2) của hacker, do đó, nguy cơ bị cảnh báo trong khi tìm nạp được giảm thiểu.

"Khi ngụy trang payload theo cách này, hacker có thể lưu trữ mã độc trên một dịch vụ miễn phí, đáng tin cậy", các nghiên cứu gia cho biết.

"Hệ thống diệt virus sẽ hiếm khi cảnh báo khi tải xuống từ các máy chủ đáng tin cậy như GitHub so với tải xuống từ các máy chủ C2 do hacker kiểm soát".

Cuộc tấn công bắt đầu bằng việc hacker chiếm quyền truy cập ban đầu vào mạng của nạn nhân bằng cách khai thác các lỗ hổng Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) và chuỗi tấn công ProxyLogon (CVE-2021-26855 và CVE-2021-27065). Tiếp đó, chúng sẽ thả webshells trên các máy chủ dễ bị tấn công.

Sau đó, hacker tìm nạp backdoor trong file hình ảnh cho phép chúng thực hiện các việc sau:

Thực hiện các thao tác với file và thư mục

Bắt đầu, liệt kê hoặc kết thúc các quy trình

Sửa đổi Windows Registry

Tải xuống các payload bổ sung

Trích xuất file

Witchetty cũng cài cắm một tiện ích proxy tùy chỉnh khiến máy tính bị nhiễm hoạt động như một máy chủ và kết nối với một máy chủ C2 hoạt động như một máy khách, thay vì ngược lại.

Các công cụ khác bao gồm trình quét cổng tùy chỉnh và tiện ích giúp duy trì sự hiện diện với khả năng tự thêm vào Registry với tên gọi "NVIDIA display core component".

Cùng với các công cụ tùy chỉnh, Witchetty sử dụng các tiện ích tiêu chuẩn như Mimikatzand để kết xuất thông tin xác thực từ LSASS và lạm dụng "lolbins" trên máy chủ như CMD, WMIC và PowerShell.

TA410 và Witchetty vẫn là những mối đe dọa thường trực với các chính phủ và cơ quan nhà nước ở Châu Á, Châu Phi và trên toàn cầu. Cách tốt nhất để ngăn chặn các cuộc tấn công của chúng là cài đặt các bản cập nhật vá lỗ hổng bảo mật kịp thời.

Theo TheHackerNews