Windows ロゴ

セキュリティ研究者は、ステガノグラフィーを使用して Windows ロゴにバックドア マルウェアを隠す「Witchetty」ハッキング グループによる悪意のあるキャンペーンを発見しました。

Witchetty は、国家が支援する中国の脅威アクターAPT10 (別名「Cicada」) と密接な関係があると考えられています。このグループは、以前に米国のエネルギー プロバイダーに対する攻撃に関連していた TA410 工作員の一部とも考えられています。

Symantec は、脅威グループが 2022 年 2 月に開始された、中東の 2 つの政府とアフリカの証券取引所を標的とした新しいサイバースパイ活動を行っており、現在も進行中であると報告しています。

あなたに対する Windows ロゴの使用

このキャンペーンでは、ハッカーはツールキットを更新してさまざまな脆弱性を標的にし、ステガノグラフィを使用して悪意のあるペイロードをウイルス対策ソフトウェアから隠しました。

ステガノグラフィーとは、検出を回避するために、他の非機密の公開情報またはコンピューター ファイル (画像など) 内にデータを隠す行為です。たとえば、ハッカーは、コンピュータ上で正しく表示される作業イメージ ファイルを作成できますが、そこから抽出できる悪意のあるコードも含まれます。

Symantec が発見したキャンペーンでは、Witchetti はステガノグラフィーを使用して、XOR で暗号化されたバックドア マルウェアを古い Windows ロゴのビットマップ イメージに隠しています。

ペイロードを隠す Windows ロゴ
ペイロードを隠す Windows ロゴ(Symantec)

ファイルは、攻撃者のコマンド アンド コントロール (C2) サーバーではなく、信頼できるクラウド サービスでホストされているため、フェッチ中にセキュリティ アラームが発生する可能性は最小限に抑えられます。

「この方法でペイロードを偽装することで、攻撃者は無料の信頼できるサービスでペイロードをホストすることができました」と Symantec はレポートで説明しています。

「GitHub などの信頼できるホストからのダウンロードは、攻撃者が制御するコマンド アンド コントロール (C&C) サーバーからのダウンロードよりも危険信号を発する可能性がはるかに低いです。」

攻撃は、攻撃者がMicrosoft Exchange ProxyShell (CVE-2021-34473、CVE-2021-34523、および CVE-2021-31207) とProxyLogon (CVE-2021-26855 および CVE- 2021-27065) 脆弱なサーバーに Webshell をドロップする攻撃チェーン。

次に、攻撃者は画像ファイルに隠れているバックドアを取得します。これにより、次のことが可能になります。

  • ファイルとディレクトリのアクションを実行する
  • プロセスの開始、列挙、または強制終了
  • Windows レジストリを変更する
  • 追加のペイロードをダウンロードする
  • ファイルを盗み出す

Witchetty はまた、感染したコンピュータを「サーバーとして動作させ、クライアントとして動作する C&C サーバーに接続させる」カスタム プロキシ ユーティリティを導入しました。

その他のツールには、カスタム ポート スキャナーと、「NVIDIA ディスプレイ コア コンポーネント」としてレジストリに追加されるカスタム永続化ユーティリティが含まれます。

カスタム ツールに加えて、Witchetti は Mimikatzand などの標準ユーティリティを使用して LSASS から資格情報をダンプし、CMD、WMIC、PowerShell などのホスト上の「lolbins」を悪用します。

TA410 と Witchetty は、アジア、アフリカ、および世界中の政府や国家機関に対する積極的な脅威であり続けています。その攻撃を防ぐ最善の方法は、セキュリティ更新プログラムがリリースされたときに適用することです。

シマンテックが発見したキャンペーンでは、ハッカーは昨年の脆弱性を悪用して標的のネットワークに侵入し、公開されたサーバーの管理が不十分であることを利用しています。