Hackers Hide Malware in Windows Logo, Target Middle East Governments
2022/09/30 InfoSecurity — Witchetty と呼ばれるハッカー集団が、ステガノグラフィー技術を用いて Windows ロゴにバックドアを隠し、中東の政府をターゲットにしていることが確認された。Broadcom の最新アドバイザリによると、Witchetty (別名 LookingFrog) は国家が支援する中国の脅威アクター APT10 や、以前の米国エネルギー・プロバイダーに対する攻撃に関連した TA410 の、工作員とも関係があるとみられている。
Witchetty は、2022年4月に ESET により初めて発見されている。そのアクティビティは、X4 として知られる第1段階のバックドアと、LookBack として知られる第2段階のペイロードの使用という特徴を持つ。
同グループは、LookBack バックドアを使用し続けているが、Broadcom の観測によると、いくつかの新しいタイプのマルウェアが、そのツールセットに追加されたようだ。
同社のアドバイザリには、「Witchetty スパイ集団は、中東やアフリカのターゲットへの攻撃で新しいマルウェアを使用し、そのツールセットを徐々に更新している。このグループが使用している新しいツールの中には、ステガノグラフィー (悪意のコードを画像内に隠す稀な手法) を採用した、バックドア・トロイの木馬 (Backdoor.Stegmap) がある」と記されている。
さらに、2022年2月〜9月に Broadcom が観測した攻撃は、ProxyShell と ProxyLogon の脆弱性を悪用し、パブリックなサーバーに Web シェルをインストールするものだ。その後に、認証情報を盗み、ネットワーク上を横方向に移動し、他のコンピュータにマルウェアをインストールしていた。
Broadcom は、「Witchetty は、標的とするターゲットを危険にさらすために、ツールセットを継続的に改良し、更新する能力を実証している。Witchetty は、一般に公開されているサーバーの脆弱性を悪用して組織に侵入する一方で、カスタム・ツールを巧みに利用することで、標的とする組織において、長期的かつ持続的な存在を維持している」と記している。
Symantec は Protection Bulletinの中で、最新の Witchetty 攻撃からの保護に関する最新情報を提供している。このアドバイザリは、脅威アクターが UAE 政府の人事省になりすます大規模なフィッシング・キャンペーンを、CloudSEK の研究者が発見してから数カ月後に発表された。
この ステガノグラフィー (steganography) ですが、Wikipedia には、「情報隠蔽技術の一つであり、情報を他の情報に埋め込む技術のこと、あるいはその研究を指す。暗号が平文の内容を読めなくする手段を提供するのに対して、ステガノグラフィーは存在自体を隠す点が異なる」と記されていました。このブログ記事にも、Microsoft のロゴがありますが、怖いのでダウンロード・サービスは使わずに、Google の画像検索ページで結果を拡大させてから、スクリーンショットを取るようにしています。これも、ゼロトラスなのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.