El equipo de cazadores de amenazas de Symantec de Broadcom ha publicado una alerta que muestra que los grupos de hackers Witchetty y LookingFrog, respaldados por China, están empleando conjuntos de herramientas mejorados para atacar entidades en África y Medio Oriente.
ESET encontró la organización por primera vez en abril de 2022. Sus operaciones se distinguen por utilizar una puerta trasera de primera etapa (X4) y una carga útil de segunda etapa (LookBack).
Tácticas de ataque de Witchetty respaldadas por China reveladas en un aviso de Symantec
Según el análisis de Symantec, Witchetty está vinculado a la organización china APT Cicada, también conocida como Stone Panda, y APT10, así como a TA410. Esta organización ya ha sido vinculada a ataques selectivos contra empresas energéticas estadounidenses.
El conjunto de herramientas del grupo está en constante evolución. Actualmente emplea una técnica esteganográfica para ocultar una puerta trasera (Backdoor.Stegmap) bajo el logotipo de Microsoft Windows y apunta a países de Medio Oriente.
Aunque no es novedoso, se trata de un enfoque inusual en el que se oculta un virus dentro de una imagen. El virus puede eliminar y crear carpetas, manipular archivos, iniciar/terminar procesos, ejecutar/descargar ejecutables, enumerar y eliminar procesos y robar datos, entre otras cosas. También tiene la capacidad de crear, leer y eliminar claves de registro.
Cicada estaba apuntando a organizaciones japonesas a principios de este año, pero ahora parece haber ampliado su lista de objetivos para incluir América del Norte, Asia y Europa.
“Un cargador de DLL descarga un archivo de mapa de bits desde un repositorio de GitHub. El archivo parece ser simplemente un antiguo logotipo de Microsoft Windows. Sin embargo, la carga útil está oculta dentro del archivo y se descifra con una clave XOR”. lee el análisis publicado por investigadores de Symantec Threat Hunter de Broadcom. “Disfrazar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y confiable.
Witchetty ha demostrado la capacidad de perfeccionar y actualizar continuamente su conjunto de herramientas para comprometer objetivos de interés. La explotación de vulnerabilidades en servidores públicos le proporciona una ruta hacia las organizaciones, mientras que las herramientas personalizadas combinadas con el uso experto de tácticas de subsistencia le permiten mantener una presencia persistente a largo plazo en las organizaciones objetivo”.
-Symantec
Detalles del ataque
La cadena de infección incluye el uso de un cargador de DLL para obtener el archivo de mapa de bits de GitHub, que es un logotipo de Microsoft Windows con código malicioso incrustado en su interior. Este método de ocultar la carga útil permite a los atacantes alojarla en servicios gratuitos y confiables como GitHub.
Entre febrero y septiembre de 2022, Witchetty atacó las administraciones de dos países de Oriente Medio, así como la bolsa de valores de un país africano. El grupo aprovechó las vulnerabilidades ProxyShell y ProxyLogon, que fueron identificadas como CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 y CVE-2021-27065.
Según Broadcom entrada en el bloglos atacantes instalan web shells en computadoras de acceso público antes de obtener credenciales y obtener movimiento lateral de la red.
También colocaron malware en las computadoras en un intento de robar contraseñas mediante volcados de memoria, la implementación de shells web y puertas traseras, la ejecución de comandos, la implementación de puertas traseras y la instalación de herramientas personalizadas. Esta estrategia le permite infiltrarse en las redes organizacionales, y la combinación de herramientas personalizadas con otras estrategias de subsistencia le permite mantener la persistencia a largo plazo en las organizaciones objetivo.
“Witchetty ha demostrado la capacidad de perfeccionar y actualizar continuamente su conjunto de herramientas para comprometer objetivos de interés”, afirma Symantec.
Si disfrutó de este contenido, asegúrese de consultar nuestros artículos Hackers de hackers vanguardistas Fast Company, Zoom Mac Vulnerability y Microsoft Word que permiten una puerta trasera para hackers.
¿Qué es Symantec?
La corporación de software estadounidense NortonLifeLock Inc., anteriormente Symantec Corporation, tiene su sede en Tempe, Arizona. La empresa ofrece servicios y software para ciberseguridad. NortonLifeLock, empresa Fortune 500, forma parte del índice bursátil S&P 500.
