Специалисты Symantec обнаружили новую кампанию, за которой стоит хакерская группировка “Witchetty”. Для распространения бэкдора злоумышленники спрятали код вредоноса с помощью стеганографии в логотипе Windows.
Стеганография — способ сокрытия информации за медиафайлами, например, изображениями или видео. Файлы становятся носителями данных, которые подходят для транспортировки секретных сообщений. Подобный метод периодически используется хакерами: например, злоумышленники создают картинки, которые на компьютерах отображаются как обычно. Однако в этом же файле содержится вредоносный код, который может быть извлечен на устройстве.
Теперь к этой технологии обратилась группировка “Witchetty”. Хакеры разместили логотип Windows с внедренным зловредным кодом в общедоступных облачных сервисах, например, на GitHub. Подобным ресурсам доверяют большинство антивирусных сканеров.
После заражения компьютера злоумышленники извлекали из файла нужный код бэкдора через уязвимости Microsoft Exchange ProxyShell и ProxyLogon. В результате вредоносная программа могла создавать каталоги, управлять процессами, изменять реестры и скачивать дополнительные файлы для продолжение атаки. Пострадавшими от действий злоумышленников считаются не только персональные устройства, но и корпоративные системы.
По мнению экспертов, хакеры “Witchetty” связаны с китайской правительственной кибергруппировкой APT10, также известной под именем “Cicada”. Помимо этого, специалисты прослеживают связь и со злоумышленниками TA410. Утверждается, что вредоносная кампания остается активной и по сей день.